コロナ問題で在宅勤務が急増中。この変化に企業のIT部門はいかに対応し、ビジネスの継続性、ITセキュリティと一貫性を保てるか?

リモート環境でのユーザ層が拡大することでのリスクの増加し、テレワークの必要性の影響に注目が集まる中、サイバー攻撃者は標的型のフィッシング攻撃活動を仕掛け出しており、いくつかのケースでは攻撃に成功しています。

ランサムウェアが文書ファイルとPowerShellの悪用でファイルレスで暗号化

WindowsやMS Officeに標準で実装されている機構の範囲で処理されるマルウェアが存在し、独立した実行ファイル類を持たないことから「ファイルレス」と呼ばれる分類になります。●こうしたマルウェアは従来の検知型のセキュリティでは問題の有無の判別が著しく難しくなります。●今回はBromiumで確保した実際の検体を分析することで、その構造を解き明かしていきます。

2019年9月に見られたEmotetの変更

2019年6月初旬にそれまでの配信活動がいったんなりをひそめたEMOTETが、同年9月に配信活動の再開が認識されました。● 活動休止前のサンプル群と新たなサンプル群とを比較するとEMOTETが機能面で複数の変更が加えられている事がわかりました。

検知より先に保護を確立:FlawedAmmyyと隔離の実例

メモリで直接実行してファイルを作らないファイルレス型、配信の都度形態を変える多態型、OS等に標準で実装されたモジュールを悪用する環境寄生型(LOLBins)などの手口により、従来からの検知を前提としたセキュリティは効果が薄れる一方です。● 一方で2年も前に認識された特定の脆弱性を悪用の多発も見れます。● 今回は高度な攻撃の一つの例であるFlawedAmmyyからBromiumが防御する様子も動画で併せてお伝えします。

Emotet (Part 3/3) : Emotet状態のゲーム

● Emotetバンキング系トロイの木馬に関する投稿シリーズの第三弾です。 ● 前回までにEmotetが仕込まれるメカニズムとその振舞いについて、動的分析をしてきました。 ● Emotetから得られたホストとネットワークに関するデータから、それ自身をサービスとして登録することで権限を昇格させ、ファイルシステムの様々な場所に存続し、最後にドロッパーファイルを削除することがわかっています。

おめでとう、Meterpreterシェルが当たりました

攻撃者の観点で攻撃を検出されないようにするには、仕掛けるマルウェアによるファイル作成やネットワーク上の動作を制限する必要があります。 ● この投稿では、検出を回避するためによく使われる二種の手法の例となる攻撃を分析していきます。

Emotet (Part 2/3) : 捕まるもんなら捕まえてみな!

● Emotetは、指定されたタスクを実行するのに適切なディシジョンツリーベースのアルゴリズムを持った、高度にモジュール化されたバンキング狙いのトロイの木馬です。 ● 難読化されたペイロードを配信し、自己アップグレード可能なモジュールを介してその機能を拡張する能力から、Emotetは組織への標的型攻撃で一般的に使用されるペイロードランチャーになりました。 Emotetが複数の段階と、複数の経路での攻撃に使用されていることから悪名を上げています。

マルウェアが自己デバックで分析を回避する

Twitterへの投稿を機に私たちの製品に関連するフォルダーを検索しているらしいマルウェアの存在を知りました ● 研究者による動作の把握を難しくするための特殊な構造をしていることが判り、さらにそれをひも解くことで、クッキーや資格情報を検索する動きもわかりました ● これらの試みも、マイクロ仮想マシン内に隔離するBromiumでは、危害をくわえることはできません。

マルウェア配布ネットワークの緻密な配置

米国を拠点とする12以上のウェブサーバで10種類のマルウェアがホストされ、大規模なフィッシング作戦の中での拡散に使用されています。 ● 異なる攻撃実行者の存在を想起する証拠があります。つまり、メールやマルウェアのホスティングを担当する行為者と、そのマルウェアを操作する行為者です。 ● サーバは、Necursボットネットの、マルウェアをホストするインフラストラクチャの一部であることを示しています。