マルウェア 解析。 マルウェア解析について -環境構築編-

脅威のスポットライト:Ghidraによるコード解析入門

マルウェア 解析

ログ収集システムを用いた解析を実際に体験して学んだことをメモしておこうと思います。 解析環境はです。 セキュリティオペレーションの流れ まず、解析を含むセキュリティオペレーションの一連の流れを示します。 必要に応じて感染ノードを回収して実ファイルの調査とユーザへの聴取。 ) 3 分析後に対象がか過検知かの判定 4 の場合、被害状況・現状の確認 5 対応(削除、システムのスキャン、再発防止の仕組み構築、注意勧告、上長や関係部署への通達) ここでは、上記の内の2~3に該当する解析について述べて行きたいと思います。 また、コードの解析はアラートシステムに任せ、ログ情報を元にした解析に焦点を当てます。 解析 今回はアラートシステムにCybereasonを用いた場合の解析について述べます。 注視するべき要点 ネットワークの観点から注視すべき要点は以下のものです。 単語 概要 場所 と、それが存在する地域についての情報。 攻撃の温床となるアドレスは偏っているので、怪しさの指標になる。 時刻 攻撃・異常の発生時刻など。 どのタイミングでどのような振る舞いをしているかは分析に重要。 期間 疑わしいプロセスが振る舞う期間。 潜伏期間や攻撃期間などはの動向を考察する上で参考になる。 方向性 通信が内向きか外向きかという方向性。 ポート でのポート番号。 どのようなサービスにアクセスしようとしたか等を知る事が出来る。 例えばポートスキャン実行時には複数の宛先ポートが検出される。 データ量 通信量とも。 不自然に大きなデータがやり取りされていれば、情報窃取や注入などのインシデントを想起できる。 頻度 振る舞いの頻度。 また、不審な振る舞いの頻度が高ければであるとの判断につながる。 評価 Reputation。 の、、名、URLなどに対する評価。 様々なスキャン製品・サービスによって裏付けられた評価であり、分析対象がか否かを判断する指標となる。 これを行うサービスとしては、 X-Forceなどがある。 履歴 ログ情報。 プロセスが如何なる振る舞いをしているか、ある端末で起きている事象が他の端末でも起きていないか等の調査に役立てる。 プロセス プロセスの正当性の確認。 異常なプロセスが親や子にいないか。 プロセスの実行源となったファイルに署名はついているかなどを確認する。 状態 疑わしいプロセスが現段階でどのような状態にあるか。 既にとしての活動を停止しているのか、現在もまだ動作しているのかなど。 怪しいプロセスの具体的な情報例 上記に記された要点に沿って、実際ので観測されがちな特徴を記述します。 ファイルのハッシュが既知のと一致 ファイル名は自由に決めることができるため、配布者は、に無害そうな名前をつけることがあります。 しかし、そのファイルの内容までを悪意のないものに偽装するのは難しいことです。 既知ののハッシュと、検知した疑わしいファイルのハッシュが一致すれば、ファイル名が異なっても中身が同じでの可能性が高いと判断できます。 ハッシュとしてはやがよく用いられるようです。 既知のとハッシュが一致するものがあるか検索する際にはなどを利用します。 ファイルパスが怪しい 例えば実行ファイルがユーザローカル領域のtempフォルダ配下から実行されている場合などは、ユーザの意図に関わらずから実行されている場合があります。 例)Emdiviなど また、おおよそ正規の実行ファイルはProgramFilesに置かれます。 の場合、すぐに発見されないようにフォルダの深い階層に設置するような場合があります。 アイコンや名前・拡張子がおかしい 拡張子が. pdf. exeのように2重になされている場合、2重拡張子といい、ユーザに実行ファイルではない偽装を行う意図が考えられます。 2重拡張子には、. exeを表示領域から見切れさせるために、. exeと冗長な命名をするようなものもあります。 また、実行ファイルにも関わらずドキュメントファイルのアイコンなどを装う場合もの可能性があります。 実行ファイルが実行ファイルを作成している ドロッパー(Dropper)と呼ばれる等にありがちな挙動です。 目立った諜報活動を行う子プロセスのが削除されても、そのを作成・実行するドロッパーが生きていればまたが作成されるので、ドロッパーも特定して削除する必要があります。 分析(振る舞い検知)を行っているCybereason等では、実行ファイルを作成するような動作もとして検知してくれるようです。 また、仮にが検知された場合、解析過程でその親プロセスを辿ることができればドロッパーに行きつくことがあるのでプロセスの親子関係も大事な要素です。 信頼できそうな製作者や製品名だががない ファイルにはその製作者や製品名を記述できますが、その他にも作成元を証明するためのをつけることができます。 の作成者は、この製作者や製品名を、偽装したアイコンやファイル名、ダウンロード時の状態に合わせてもっともらしいものに設定します。 例えば、 Playerのにつけこんでダウンロードさせたの場合、製作者を incorporated、製品名を player utilityなどとすることがあり、この情報だけだと一見安全そうに見えます。 ただし、までは偽装できないので、このが無いという情報だけで一転してとても信頼性のないファイルとなります。 現状の把握 、特に標的型攻撃を、その手順ごとに段階化した考えをサイバー・キル・チェーンといいます。 以下の表にその概要を示します。 名称 概要 偵察 あらゆる偵察行動を指します。 企業のサイトや公開情報から、攻撃対象の情報を得る。 また、攻撃の踏み台に出来そうなのあるノードを探すなど。 の調査にはポートスキャンなどが行われる。 武器化 のあるサイトに悪意のあるコードを埋め込んだり、攻撃ツール(,dropper)やを作成する。 配送 なりすましメールなどにを添付して攻撃対象に送り込んだり、悪意のあるコードを埋め込んだサイトに攻撃対象を誘導して、ドライブバイダウンロード(ユーザに気づかれないようにDL)させる。 インス エクスプロイトの結果としてが設置される。 侵入拡大 通称、横への展開とも呼ばれ、ネットワーク内でを探して侵入先を拡大する。 目的実行 目的の情報を窃取する。 現状を把握する場合、このサイバー・キル・チェーンがどの段階かを把握すると良いかもしれません。 また、攻撃対策時には、このサイバー・キル・チェーンをどこで切れるかを考慮します。 過検知について 正規の正常なソフトウェアが誤ってと検知されてしまうことを過検知といいます。 とりあえず疑わしきは罰するという路線では業務がままならず、必要である正常なソフトウェアは削除しないようにしなくてはならないため、過検知かどうかを正しく判断する技術が重要になってきます。 対応 対応は技術的対応と業務的対応に分けられると思います。 業務的な対応としては例えば ・感染先ネットワークの管理者や上長、セキュリティチームへの報告 ・インシデント関係者への聴取と警告 などが挙げられます。 white-hawk.

次の

NTT Home page > 研究開発 > セキュアプラットフォーム研究所 > 研究中のプロジェクト > サイバーセキュリティ プロジェクト > MDR/EDRを支えるマルウェア解析技術

マルウェア 解析

サイバー攻撃からの防御に役立つ、マルウェアの解析 昨今のサイバー攻撃には、ほとんどの場合にマルウェアが関係しています。 マルウェアとは、「Malicious Software」から作られた言葉で、「悪意のあるソフトウェア」を意味します。 マルウェアは、インターネットバンキングの認証情報を窃取し不正に送金する、機密情報を盗む、重要システムを破壊する、といった様々なタイプがあります。 最近では、ファイルを暗号化し、復号するためには金銭を支払うよう要求するような「ランサムウェア」と呼ばれるマルウェアも流行しています。 マルウェアの解析は、様々な立場の人が様々な目的をもって行っています。 サイバー攻撃を日々監視しているSOC(セキュリティ・オペレーション・センター)では、不審なファイルを発見したときに、マルウェアかどうかを特定するために解析を行います。 また、セキュリティセンサー上で攻撃を識別するルールを設定するためにも解析が必要です。 攻撃者がマルウェアに対し攻撃の指令を送るサーバ)等と通信するのかを明らかにすることで、ルールを作成します。 法執行機関は、サイバー犯罪の調査のために、発見されたマルウェアを解析することもあります。 マルウェア解析の3つの方法 マルウェア解析にはさまざまな方法がありますが、私たちの現場では以下の3つのステップに分けて解析を行っています。 表層解析• 動的解析• 静的解析 ステップ1:マルウェアの特徴をもとに過去の解析データを調査する「表層解析」 最初に行うのは表層解析です。 これはマルウェアの表層的な特徴(ファイル名、ファイル種別、ハッシュ値等)を元に、インターネットや過去の解析データ等を調査する方法です。 マルウェアを動作させずに解析するため、比較的危険度が低いやり方といえます。 ステップ2:実際にマルウェアの挙動を見る「動的解析」 表層解析では満足のいく結果が得られなかった場合、動的解析を行います。 動的解析は、マルウェアを動作させ、その挙動をモニタリングして解析する方法です。 マルウェアを実際に動作させるので、やり方を間違えると他の端末に感染が拡大する可能性もあります。 そこでネットワークに繋がないスタンドアロン環境や仮想環境を用いて、マルウェアが感染の際にどのようなファイルを作成するのか、またその通信先などを調べます。 仮想環境のスナップショット機能を利用すると解析後、感染前の環境に容易に戻すこともできます。 リバースエンジニアリング後のアセンブリコード サイバー攻撃者の意図を見抜き、解析に成功したときのやりがいは特別 攻撃者はマルウェア作成の際、サンドボックス(注)などのセキュリティ製品に防御されないよう、また、セキュリティアナリストに解析されないような細工を施しています。 例えば、マルウェアは感染したマシンのディスクサイズをチェックすることがあります。 解析環境は、必要最低限のリソースで構築するためにディスクサイズが比較的小さいという特徴があります。 このような環境では動作を停止し、アナリストによる解析を阻みます。 現場のセキュリティアナリストは、攻撃者の様々な細工に対応する必要があり、解析作業は常に困難を極めます。 しかし攻撃者の意図を見抜き、細工を突破し、解析が成功したときの充実感と達成感は、苦労した分だけ特別なものがあります。 なお、マルウェア解析は、自身が感染しないよう細心の注意と管理、専門的な知識が必要です。 マルウェアに関する法規制もあるため、専門家にゆだねることをお勧めします。

次の

Cuckoo Sandboxでマルウェアのサンドボックス解析

マルウェア 解析

受講の効果• 耐解析機能を持つマルウェアの解析ができるようになる• マルウェアの機能を論理的に理解できるようになる• 膨大なアセンブラ命令から必要な情報を抽出し、見るべきポイントを抑える 詳細な習得スキルはこちらをご参照ください。 実行プログラムを作成するために行われる、リンカやローダ、コンパイル、ビルドといったものからどのようなファイルが作成されるかをお話します。 その後解析に必要なメモリやレジスタなどのハードウェアの基礎を学習した後、基本的なアセンブラ命令を学習します。 学習にはVisual Studio等を用いて、複数の言語ソースからバイナリを生成し、リバースして見るべきポイントを絞り込むところから始めます。 更に元のソースコードと比較し、アセンブラ言語になった場合、どのような表記になるかといった特徴を抑えていきます。 主にマルウェア解析に必要なものを多く含み、難読化や通信の暗号化についても紹介していきます。 受講の前提条件• 入門編の受講経験がある(以下経験があれば、必須ではありません。 マルウェアの簡易解析を経験済み - 表層解析が可能 - デバッガ以外のツールを使った動的解析が可能• を受講済みの方もしくは同等の知識をお持ちの方 (以下x86アセンブラについて大まかに理解していれば、必須ではありません。 - デバッガによるx86プログラム解析入門 著者:Digital Travesia管理人 うさぴょん オプションで0日目にアセンブラ入門を利用できます。 アセンブラに全く触ったことがない方は、是非ご利用ください。 こんな方にオススメ• SOC(セキュリティ運用)要員• CSIRT要員(技術系) カリキュラム コース内容 詳細 0日目午前 0. アセンブラ概要• ディスアセンブラツールの紹介• データ• ハードウェア 0日目午後 0. 基本命令• 簡易プログラムリバース実践• 難読化対応のためのアセンブラ• 通信及び暗号に関するアセンブラ 1日目午前 1. 耐解析機能と概要• 対応すべき耐解析機能• アセンブラとデバッガの知識の必要性 2. アセンブラ• マルウェアの特徴を抑えるためのアセンブラの学習 - 基本命令、データの取り扱い、スタック、フラグレジスタ、元のソースコードなど 3. デバッガとその使い方• デバッガとその使い方(OllyDbg)• 攻撃者の意図を特定 1日目午後 4. 耐解析機能の回避• 耐解析機能の回避• 耐解析機能として動作する関数やコードの発見、対応• OllyDbgを用いた耐解析機能書き換え手法 5. マニュアルアンパックと必要な知識• マニュアルアンパック手法 - PEファイルフォーマット - メモリダンプ手法 - 実践可能なツールImportREC 6. マニュアルアンパック実践• マニュアルアンパックの実践 2日目午前 7. 静的解析• 静的解析とは - IDA Pro 8. 簡易静的解析• デコンパイル可能なマルウェアの簡易動的解析• 実在したマルウェアの解析• 静的解析の考え方 9. IDA入門• IDAと使い方 2日目午後 10. IDA実践• IDAを使ったアセンブラの読み方• よくある問題についての対応 11. 演習と時間短縮テクニック• IDAを用いた特定マルウェアの特徴把握 3日目午前 12. 総合演習. 比較的簡単なマルウェアについての表層解析、動的解析、必要に応じて静的解析 3日目午後 13. 総合演習. お支払方法 前入金によるお支払か、後払いによるお支払(企業様のみ)のいずれかをご選択ください。 ご質問等ございましたら、こちらからお問い合わせください。

次の