マルウェア のバックアップ(No.2)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- マルウェア へ行く。
- 1 (2021-11-14 (日) 21:03:23)
- 2 (2021-11-15 (月) 12:57:58)
- 3 (2021-12-10 (金) 08:32:06)
- 4 (2022-02-16 (水) 09:25:31)
- 5 (2022-03-04 (金) 09:38:15)
- 6 (2022-07-23 (土) 22:11:51)
- 7 (2022-07-24 (日) 09:39:10)
- 8 (2022-09-10 (土) 13:59:49)
- 9 (2022-09-13 (火) 08:24:06)
- 10 (2022-09-18 (日) 20:36:52)
- 11 (2023-01-15 (日) 21:25:31)
- 12 (2023-02-25 (土) 23:24:17)
マルウェア とは †
- 利用者の意図に反する不正な振る舞いをするソフトウェア
マルウェアの種類 †
PUA †
- Potentially Unwanted Application
- マルウェアと言う程の悪質さはないが、不適切な動作をするアプリケーションのこと
PUAの種類 †
ポリモーフィック型ウィルス †
- 感染するごとに異なる暗号鍵を使ってマルウェア自身を暗号化することで、コンペア法やパターンマッチング法では検知されないようにするマルウェア
マルウェアが行う行為 †
- 情報収集
- 侵入
- 妨害
- 破壊
- 改竄
マルウェアの特徴 †
実行ファイルを使って感染させるための手法 †
- ファイル名の拡張子
- .exe
- .lnk
- .xlsx.exe
- .xlsx △△△△△△△△△△.exe ※△はスペース
- ファイルのアイコン
- 特定のソフトウェアに偽装されている
- ファイル名
- RLO(Right-to-Left Override)を使って偽装されている
メールのURLを使って感染させるための手法 †
- 表示されているURLと実際のURLが異なる
マルウェアの対策 †
- 対策を行う環境
- 通信経路上で行う対策
- IPS
- サンドボックス
- アンチウィルスツール
- アンチスパムツール
- URLフィルタリングツール
- プロキシサーバ
- VDI (仮想ブラウザ、仮想メールクライアント)
- 通信経路上で行う対策
- エンドポイント環境で行う対策
- アンチウィルスツール (パターンマッチング型、振る舞い検知型)
- パーソナルファイアウォール
- EDR
- 入り口対策
- マルウェアの侵入・感染を防ぐ対策
- 出口対策
- 侵入・感染したマルウェアの外部への接続を防ぐ対策
マルウェアを検出する手法 †
- ファイル比較型
- コンペア法
- 原本と比較して検出する
- コンペア法
- パターンマッチング法
- 定義ファイル(パターンファイル)を用いて、特徴的なコード(シグネチャ)のパターンと比較して検出する
- 定義ファイルに登録されていないと検出できない
- ポリモーフィック型ウィルスや、未知のウィルスは検出できない
- 行動検知型
- ヒューリスティック法
- 登録されている動作と比較して検出する
- ヒューリスティック法
- ビヘイビア法
- 感染と発病の動作の異常を検出する
- 感染と発病による環境の変化を検知する
- サンドボックス
- サンドボックス(仮想環境)上でファイルの振る舞いをチェックして検出する
フォールスポジティブとフォールスネガティブ †
関連サイト †
- 未知ウイルス検出技術に関する調査 (IPA)
https://www.ipa.go.jp/security/fy15/reports/uvd/index.html
マルウェア解析用サンドボックス †
- AnyRUN
https://app.any.run/
ウィルス検査サービス †
- VirusTotal - Google
https://www.virustotal.com/