検知より先に保護を確立:FlawedAmmyyと隔離の実例

メモリで直接実行してファイルを作らないファイルレス型、配信の都度形態を変える多態型、OS等に標準で実装されたモジュールを悪用する環境寄生型(LOLBins)などの手口により、従来からの検知を前提としたセキュリティは効果が薄れる一方です。● 一方で2年も前に認識された特定の脆弱性を悪用の多発も見れます。● 今回は高度な攻撃の一つの例であるFlawedAmmyyからBromiumが防御する様子も動画で併せてお伝えします。

Emotet (Part 3/3) : Emotet状態のゲーム

● Emotetバンキング系トロイの木馬に関する投稿シリーズの第三弾です。 ● 前回までにEmotetが仕込まれるメカニズムとその振舞いについて、動的分析をしてきました。 ● Emotetから得られたホストとネットワークに関するデータから、それ自身をサービスとして登録することで権限を昇格させ、ファイルシステムの様々な場所に存続し、最後にドロッパーファイルを削除することがわかっています。

おめでとう、Meterpreterシェルが当たりました

攻撃者の観点で攻撃を検出されないようにするには、仕掛けるマルウェアによるファイル作成やネットワーク上の動作を制限する必要があります。 ● この投稿では、検出を回避するためによく使われる二種の手法の例となる攻撃を分析していきます。

Emotet (Part 2/3) : 捕まるもんなら捕まえてみな!

● Emotetは、指定されたタスクを実行するのに適切なディシジョンツリーベースのアルゴリズムを持った、高度にモジュール化されたバンキング狙いのトロイの木馬です。 ● 難読化されたペイロードを配信し、自己アップグレード可能なモジュールを介してその機能を拡張する能力から、Emotetは組織への標的型攻撃で一般的に使用されるペイロードランチャーになりました。 Emotetが複数の段階と、複数の経路での攻撃に使用されていることから悪名を上げています。

マルウェアが自己デバックで分析を回避する

Twitterへの投稿を機に私たちの製品に関連するフォルダーを検索しているらしいマルウェアの存在を知りました ● 研究者による動作の把握を難しくするための特殊な構造をしていることが判り、さらにそれをひも解くことで、クッキーや資格情報を検索する動きもわかりました ● これらの試みも、マイクロ仮想マシン内に隔離するBromiumでは、危害をくわえることはできません。

マルウェア配布ネットワークの緻密な配置

米国を拠点とする12以上のウェブサーバで10種類のマルウェアがホストされ、大規模なフィッシング作戦の中での拡散に使用されています。 ● 異なる攻撃実行者の存在を想起する証拠があります。つまり、メールやマルウェアのホスティングを担当する行為者と、そのマルウェアを操作する行為者です。 ● サーバは、Necursボットネットの、マルウェアをホストするインフラストラクチャの一部であることを示しています。

Operation sharpshooterの背後にあるソーシャルエンジニアリング

欧米の金融サービスや政府機関、基幹インフラを狙ったスパイ作戦、Operation Sharpshooterがソーシャルエンジニアリングで企業組織内に侵入しています。 ●ソーシャルエンジニアリングは、技術的な方法以外の、人の心理的な隙や行動のミスにつけ込む手口で、背景には、FOMO(fear of missing out、「見逃してしまうこと」や「取り残されるかもしれない」ことへの恐れ)があります。 ● 単純でありふれた攻撃手口であっても人の性質上、避けきれるものではありません。

文書ファイルを開かなくてもプレビューでマルウェアが動き出す

●マクロを悪用した手口は古く多数の対策も施されていますが、攻撃する側もセキュリティ機構の隙をつく新たな手口を次々と編み出します。 ●ユーザのセキュリティ意識や成熟度に依存しない手口は特に脅威です。 ●ファイルを開かなくてもマクロを開始させる手口を実在する検体をもとに解説します。

Emotet (Part 1/3) : PCにどのように感染するか

●もともとオンラインバンキング・マルウェアとして作成されたEmotetがBromiumユーザ企業で最も多く見つかっています。 ● PC上のBromiumが捉えているということは、その前段階の多層防御をすべてすり抜けてきたことを意味するため、警戒が必要です。 ●一般的なセキュリティ製品をすり抜けるために施された仕組みも含めて解説します。