マルウェア
2023-03-04 (土) 18:17:13
マルウェア とは †
- 利用者の意図に反する不正な振る舞いをするソフトウェア
マルウェアの種類 †
PUA †
- Potentially Unwanted Application
- マルウェアと言う程の悪質さはないが、不適切な動作をするアプリケーションのこと
PUAの種類 †
ポリモーフィック型ウィルス †
- 検知されづらくするために、感染するごとに自身を変化させるマルウェア
- 感染するごとに異なる暗号鍵を使ってマルウェア自身を暗号化することで、コンペア法やパターンマッチング法では検知されないようにする
マルウェアが行う行為 †
- 情報収集
- 侵入
- 妨害
- 破壊
- 改竄
マルウェアの特徴 †
実行ファイルを使って感染させるための手法 †
- ファイル名の拡張子
- .exe
- .lnk
- .xlsx.exe
- .xlsx △△△△△△△△△△.exe ※△はスペース
- ファイルのアイコン
- 特定のソフトウェアに偽装されている
メールのURLを使って感染させるための手法 †
- 表示されているURLと実際のURLが異なる
マルウェアの対策 †
- 対策を行う環境
- 通信経路上で行う対策
- IPS
- サンドボックス
- アンチウィルスツール
- アンチスパムツール
- URLフィルタリングツール
- プロキシサーバ
- VDI (仮想ブラウザ、仮想メールクライアント)
- エンドポイント環境で行う対策
- アンチウィルスツール (パターンマッチング型、振る舞い検知型)
- パーソナルファイアウォール
- EDR
- EPP
- 通信経路上で行う対策
- 入り口対策
- マルウェアの侵入・感染を防ぐ対策
- 出口対策
- 侵入・感染したマルウェアの外部への接続を防ぐ対策
マルウェアを検出する手法 †
マルウェア本体をチェックする †
- ファイル比較型
- コンペア法
- 原本と比較して検出する
- コンペア法
- パターンマッチング法
- 定義ファイル(パターンファイル)を用いて、特徴的なコード(シグネチャ)のパターンと比較して検出する
- 定義ファイルに登録されていないと検出できない
- ポリモーフィック型ウィルスや、未知のウィルスは検出できない
マルウェアの行動をチェックする †
- 行動検知型
- ヒューリスティック法
- 登録されている動作と比較して検出する
- ヒューリスティック法
- ビヘイビア法
- 感染と発病の動作の異常を検出する
- 感染と発病による環境の変化を検知する
- サンドボックス
- サンドボックス(仮想環境)上でファイルの振る舞いをチェックして検出する
マルウェア検出の課題 †
フォールスポジティブとフォールスネガティブ †
- 「不正検知」参照
関連サイト †
- 未知ウイルス検出技術に関する調査 (IPA)
https://www.ipa.go.jp/security/fy15/reports/uvd/index.html
- LO(Right-to-Left Override)| RLO 拡張子偽装 - サイバー攻撃大辞典
https://securitychecklist.net/security/cyber-attack/RLO.html
マルウェア解析用サンドボックス †
- AnyRUN
https://app.any.run/
ウィルス検査サービス †
- VirusTotal - Google
https://www.virustotal.com/
- am I infected? - 横浜国立大学とゼロゼロワン
https://amii.ynu.codes/