ブログ

FFRI BLOG

2014-06-03 Monthly Research 「実行環境に応じて動作を変えるマルウェアに関する調査

今月のMonthly Researchは、実行環境に応じて動作を変えるマルウェアに関する調査を行いました。

Zbot, SpyEye, Citadelやそれらの亜種の一部は、実行環境によって自身の振る舞いを変える機能を実装していることが確認されています。これは、解析者に対するアンチデバッギングの一つとも捉えることができますが、マルウェア作成者の狙いはむしろ、サンドボックスを用いた自動解析を避けることであると考えられます。現状では、アンチデバッギングの手法としてはさほど洗練されていませんが、流通しているマルウェアの対解析技法の一つになっていること、今後、更に解析しにくい方向に進化することが考えられます。

今回の調査では、Host fingerprintingと呼ばれるホストPCの環境固有情報を使って動作環境を識別する手法と、その際に使われる環境固有情報、そしてその実例をメインに報告します。


Monthly Researchのダウンロードはこちら


関連記事

Monthly Research 「特権分離とサンドボックス技術を用いたセキュアなLinuxアプリケーションの実装」

Monthly Research 「Fuzzy hashingの利用に関する検討および評価」

Monthly Research 「ロジスティック回帰分析による未知マルウェア分類の有効性」

pagetop