2010年の攻撃を振り返り、攻撃に多用されたデバイス/ツールを9つ、トレンドマイクロの研究員の視点から紹介します。 |
トレンドマイクロは、2011年1月6日、『インターネット脅威年間レポート 2010年度(最終版)』を公開しました。一方、「TrendLabs(トレンドラボ)」が提供する英語ブログ「TrendLabs MALWARE BLOG」にて、グローバルにおける脅威状況の年間レポート(英語情報)が公開されています。
今回から4回にわたって、上記記事をもとに 2010年のグローバルにおける脅威トピックをご紹介していきます。
続きを読む
マルウェア解析の目的は場面に応じて様々ですが、目的の一つはマルウェア対策に有用な情報を得ることです。マルウェア対策の基本的な方法には、ファイルを検査してそのファイルがマルウェアかどうかを判別する手法があります。マルウェアと同じコード(バイナリ列)が検索対象ファイル内に存在するかを調べるパターンマッチング、そしてこの仕組みを応用して検出可能な範囲を拡大したヒューリスティック的な検索手法です。ファイルを検査するこれらの手法は、マスメーリングワームのように飛んでくる流れ弾をブロックするには高い効果を発揮しました。しかし現在の攻撃者は、事前に自身が作成したマルウェアの検出状況を確認し、検出されない状態のファイルを用意してから攻撃を開始することがあります。そこで登場してきたのが、色々な検出技術を多層的に組み合わせて総合的な防御力を高めようという考え方です。コンピュータ内で行われる不正と思われる振る舞い(自身を自動起動するよう設定するなど)の検知や、マルウェアが行う通信の検知など、層が増えれば増えるほどそのすべてを突破するのは困難になり、いずれかの検出技術で検出できる可能性が高まります。一つの絶対的な検出手法があればシンプルで分かりやすいのですが、そのような方法がない現状では採りえる最善の方法と言えるでしょう。しかし、防御する側が新たな対策を講じれば攻撃者はその対策手法を分析して対策の網をかいくぐろうとします。結果として攻撃手法はさらに巧妙さを増していくのです。前置きが長くなりましたが、今回ご紹介するのはそのような巧妙さを増したマルウェアの一例です。 |
脅威分析のために、攻撃全体を見通す「鳥の目」や過去からの流れを見極め行く末を予測する「魚の目」が重要なことはもはや強調するまでもありませんが、目の前の実体である攻撃コードが何を行うのかを正確に解析する「虫の目」は、脅威の適切な把握とその後の分析の基になる情報としてやはりその重要性に変わりはありません。リバースエンジニアリング手法を用いたマルウェア動作解析は、比較的他の人からも理解されやすい「鳥の目」や「魚の目」による分析とは違って、リバースエンジニア(リバースエンジニアリング手法を駆使して解析するエンジニア)だからこそ見えるものという意味でマルウェア解析の醍醐味と言えます。今回は原点に立ち返り、そんなマルウェア解析者の虫の目でどんなことが見えているのかを、最近解析した一つのマルウェアサンプルを通してご紹介します。 |
不定期でお送りしている本ブログのこのシリーズ。今回はこれまでと少し趣向を変えて、特定の単体のマルウェアではなく「Gumblar攻撃」を取り上げます。最近のマルウェアを利用した攻撃は複数のマルウェアを利用することが多いため、一つのマルウェアの動作を詳細に解析しているだけでは起きていることの全貌を明らかにすることができません。そのため解析エンジニアには、個々のマルウェアを詳細に解析する「虫の目」だけでなく、関連するすべてのマルウェアを俯瞰して全体を見通す「鳥の目」も必要になります。そこで今回は、解析エンジニアの鳥の目で「Gumblar攻撃」を眺めて感じたことをお伝えします。 (さらに…)
続きを読むリージョナルトレンドラボでは、毎日たくさんのマルウェアの解析を行なっています。そのほとんどは自動解析システムにより人手を介さずに行われていますが、より詳細な動作を知る必要がある場合や深い分析が必要な場合は、解析エンジニアがリバースエンジニアリング的な手法を用いて解析しています。そして解析していると、エンジニアは人間ですから主観的に「面白い」と感じる瞬間があります。「面白い」と感じる対象は様々です。不正プログラムの動作、プログラムの作られ方、潜んでいるメッセージなどなど・・・。そこで本ブログのこのシリーズでは、日本のリージョナルトレンドラボで日々解析している中でエンジニアが「面白い」と感じた内容について、その内容が重大であるかどうかに関係なくご紹介していきます。「マルウェア解析」という一見難しそうに思えるものが少しでも身近に感じられ、マルウェアに対する注意が向上する一助になれば幸いです。
「このマルウェアが動作していると多数の宛先に対して多数の通信を行っている。この通信が何を行っているのか明らかにして欲しい。」
このマルウェア「TROJ_PUVBED.AA」の解析を始めたのは、そんなお客様からの要望がきっかけでした。キャプチャしたパケットの通信状況を見ると、 (さらに…)