Top | このサイトについて | RSS

Top/マルウェア

マルウェア

2023-03-04 (土) 18:17:13

マルウェアとは †

利用者の意図に反する不正な振る舞いをするソフトウェア

マルウェアの種類 †

PUA †

Potentially Unwanted Application
マルウェアと言う程の悪質さはないが、不適切な動作をするアプリケーションのこと

PUAの種類 †

ポリモーフィック型ウィルス †

検知されづらくするために、感染するごとに自身を変化させるマルウェア
感染するごとに異なる暗号鍵を使ってマルウェア自身を暗号化することで、コンペア法やパターンマッチング法では検知されないようにする

マルウェアが行う行為 †

情報収集
侵入
妨害
破壊
改竄

マルウェアの特徴 †

実行ファイルを使って感染させるための手法 †

ファイル名の拡張子
- .exe
- .lnk
- .xlsx.exe
- .xlsx △△△△△△△△△△.exe ※△はスペース

ファイルのアイコン
- 特定のソフトウェアに偽装されている

ファイル名
- RLO(Right-to-Left Override)を使って偽装されている
  - Unicodeの制御文字(RLO)で文字方向を入れ替える(拡張子.exeを末尾ではない状態に見せる)

メールのURLを使って感染させるための手法 †

表示されているURLと実際のURLが異なる

マルウェアの対策 †

対策を行う環境
- 通信経路上で行う対策
  - IPS
  - サンドボックス
  - アンチウィルスツール
  - アンチスパムツール
  - URLフィルタリングツール
  - プロキシサーバ
  - VDI (仮想ブラウザ、仮想メールクライアント)
- エンドポイント環境で行う対策
  - アンチウィルスツール (パターンマッチング型、振る舞い検知型)
  - パーソナルファイアウォール
  - EDR
  - EPP

入り口対策
- マルウェアの侵入・感染を防ぐ対策
出口対策
- 侵入・感染したマルウェアの外部への接続を防ぐ対策

マルウェアを検出する手法 †

マルウェア本体をチェックする †

ファイル比較型
- コンペア法
  - 原本と比較して検出する

パターンマッチング法
- 定義ファイル(パターンファイル)を用いて、特徴的なコード(シグネチャ)のパターンと比較して検出する
- 定義ファイルに登録されていないと検出できない
- ポリモーフィック型ウィルスや、未知のウィルスは検出できない

チェックサム法・インテグリティチェック法
- 検査対象がマルウェアでないことを保証する情報をチェックして検出する
- 保証する方法：チェックサム、デジタル署名

マルウェアの行動をチェックする †

行動検知型
- ヒューリスティック法
  - 登録されている動作と比較して検出する

ビヘイビア法
- 感染と発病の動作の異常を検出する
- 感染と発病による環境の変化を検知する

サンドボックス
- サンドボックス(仮想環境)上でファイルの振る舞いをチェックして検出する

マルウェア検出の課題 †

フォールスポジティブとフォールスネガティブ †

「不正検知」参照

関連サイト †

未知ウイルス検出技術に関する調査 (IPA)
https://www.ipa.go.jp/security/fy15/reports/uvd/index.html

LO(Right-to-Left Override）| RLO　拡張子偽装 - サイバー攻撃大辞典
https://securitychecklist.net/security/cyber-attack/RLO.html

マルウェア解析用サンドボックス †

AnyRUN
https://app.any.run/

ウィルス検査サービス †

VirusTotal - Google
https://www.virustotal.com/

am I infected? - 横浜国立大学とゼロゼロワン
https://amii.ynu.codes/

関連用語 †