Monthly Research 「実行環境に応じて動作を変えるマルウェアに関する調査」
今月のMonthly Researchは、実行環境に応じて動作を変えるマルウェアに関する調査を行いました。
Zbot, SpyEye, Citadelやそれらの亜種の一部は、実行環境によって自身の振る舞いを変える機能を実装していることが確認されています。これは、解析者に対するアンチデバッギングの一つとも捉えることができますが、マルウェア作成者の狙いはむしろ、サンドボックスを用いた自動解析を避けることであると考えられます。現状では、アンチデバッギングの手法としてはさほど洗練されていませんが、流通しているマルウェアの対解析技法の一つになっていること、今後、更に解析しにくい方向に進化することが考えられます。
今回の調査では、Host fingerprintingと呼ばれるホストPCの環境固有情報を使って動作環境を識別する手法と、その際に使われる環境固有情報、そしてその実例をメインに報告します。
関連記事
Monthly Research 「特権分離とサンドボックス技術を用いたセキュアなLinuxアプリケーションの実装」
Monthly Research 「Fuzzy hashingの利用に関する検討および評価」
Monthly Research 「ロジスティック回帰分析による未知マルウェア分類の有効性」
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2014年 ≫ 2014年6月 ≫ Monthly Research 「実行環境に応じて動作を変えるマルウェアに関する調査」