マルウェア の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• マルウェア へ行く。
• マルウェア の差分を削除

#author("2023-03-04T18:15:05+09:00","default:k1rou","k1rou")
#author("2023-03-04T18:17:13+09:00","default:k1rou","k1rou")
*マルウェア とは [#a8d7dc45]
-利用者の意図に反する不正な振る舞いをするソフトウェア

*マルウェアの種類 [#i37ffaf2]
-[[コンピュータウィルス]]
-[[スパイウェア]]
-[[トロイの木馬]]
-[[ランサムウェア]]
-[[ワーム]]
-[[ボット]]
-[[ドロッパ]]
-[[Gumblar]]

-[[ブートセクタ感染型ウィルス]]
-[[マクロウィルス]]

**PUA [#i88115b7]
-Potentially Unwanted Application
-マルウェアと言う程の悪質さはないが、不適切な動作をするアプリケーションのこと

***PUAの種類 [#g5d1935f]
-[[アドウェア]]
-[[リモート管理ツール]]
-[[脆弱性検査ツール]]
-[[キーロガー]]
-[[仮想通貨マイニングツール]]
-[[デマウィルス]]

**ポリモーフィック型ウィルス [#e210e54a]
-検知されづらくするために、感染するごとに自身を変化させるマルウェア
-感染するごとに異なる暗号鍵を使ってマルウェア自身を[[暗号化]]することで、コンペア法やパターンマッチング法では検知されないようにする

*マルウェアが行う行為 [#ob65efdf]
-情報収集
-侵入
-妨害
-破壊
-改竄

*マルウェアの特徴 [#y2eed9d3]
**実行ファイルを使って感染させるための手法 [#f9ee7a6c]
-ファイル名の拡張子
--.exe
--.lnk
--.xlsx.exe
--.xlsx △△△△△△△△△△.exe ※△はスペース

-ファイルのアイコン
--特定のソフトウェアに偽装されている

-ファイル名
--[[RLO]](Right-to-Left Override)を使って偽装されている
---Unicodeの制御文字([[RLO]])で文字方向を入れ替える(拡張子.exeを末尾ではない状態に見せる)

**メールのURLを使って感染させるための手法 [#a710fae8]
-表示されているURLと実際のURLが異なる

*マルウェアの対策 [#m9c5b20d]
-対策を行う環境
--通信経路上で行う対策
---[[IPS]]
---[[サンドボックス]]
---[[アンチウィルスツール]]
---[[アンチスパムツール]]
---[[URLフィルタリングツール]]
---[[プロキシ]]サーバ
---[[VDI]] (仮想ブラウザ、仮想メールクライアント)
--エンドポイント環境で行う対策
---[[アンチウィルスツール]] (パターンマッチング型、振る舞い検知型)
---パーソナル[[ファイアウォール]]
---[[EDR]]
---[[EPP]]

-入り口対策
--マルウェアの侵入・感染を防ぐ対策
-出口対策
--侵入・感染したマルウェアの外部への接続を防ぐ対策

*マルウェアを検出する手法 [#re7f3547]
**マルウェア本体をチェックする [#x1ce7ce3]
-ファイル比較型
--コンペア法
---原本と比較して検出する

--パターンマッチング法
---定義ファイル(パターンファイル)を用いて、特徴的なコード([[シグネチャ]])のパターンと比較して検出する
---定義ファイルに登録されていないと検出できない
---ポリモーフィック型ウィルスや、未知のウィルスは検出できない

--チェックサム法・インテグリティチェック法
---検査対象がマルウェアでないことを保証する情報をチェックして検出する
---保証する方法：[[チェックサム]]、[[デジタル署名]]

**マルウェアの行動をチェックする [#ubd5f858]
-行動検知型
--ヒューリスティック法
---登録されている動作と比較して検出する

--ビヘイビア法
---感染と発病の動作の異常を検出する
---感染と発病による環境の変化を検知する

-[[サンドボックス]]
--サンドボックス(仮想環境)上でファイルの振る舞いをチェックして検出する

*フォールスポジティブとフォールスネガティブ [#s7be859b]
*マルウェア検出の課題 [#z5cea246]
**フォールスポジティブとフォールスネガティブ [#s7be859b]
-「[[不正検知]]」参照

*関連サイト [#l5ba0222]
-未知ウイルス検出技術に関する調査 ([[IPA]])~
https://www.ipa.go.jp/security/fy15/reports/uvd/index.html

-LO(Right-to-Left Override）| RLO　拡張子偽装 - サイバー攻撃大辞典~
https://securitychecklist.net/security/cyber-attack/RLO.html

**マルウェア解析用サンドボックス [#jba6baa8]
-AnyRUN~
https://app.any.run/

**ウィルス検査サービス [#r28ca5c7]
-VirusTotal - Google~
https://www.virustotal.com/

-am I infected? - 横浜国立大学とゼロゼロワン~
https://amii.ynu.codes/

*関連用語 [#t7c738d3]
-[[セキュリティ]]
-[[サイバー攻撃]]
-[[水飲み場型攻撃]]
-[[ファイルレスマルウェア]]
-[[不正検知]]
-[[Emotet]]
-[[Mirai]]
-[[rootkit]]
-[[UTM]]