検索:
ホーム   »   検出回避

ランサムウェア「Lockbit」を配布するローダ型マルウェア「SocGholish」と「BLISTER」の検出回避手口を解説

  • 投稿日:2022年4月28日
  • 脅威カテゴリ:ランサムウェア, サイバー攻撃, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロのManaged XDRチーム(以下、MDRチーム)では、ランサムウェア「LockBit」をペイロードとしてドロップするために攻撃者によって利用されたローダ型マルウェア「BLISTER」による用心深い挙動を観測しました。MDRチームでは、緻密な監視と迅速な対応によって、双方におけるペイロードの実行を阻止しました。

BLISTERとSocGholishは共にステルス性が高く、有害なペイロードを送りこむ際に検出回避を試みる手口で知られています。特に、攻撃キャンペーンで一緒に利用されることで知られており、SocGholishの侵入後、BLISTERが第二段階としてメインのペイロードをドロップする形で攻撃が行使されてきました。両者を組み合わせることで、攻撃者は巧みに検出を回避し、メインとなるペイロード(特に今回はLockBit)を標的に向けてドロップ・実行しようとします。今回の調査では、これら第一段階のマルウェアが事前に阻止されなかった場合に何が引き起こされるのかを解説します。

(さらに…)

続きを読む
Tags: BLISTERLockBitSocGholishTrend MicroTM Managed XDR検出回避

人気ゲームランチャーの偽装など、巧妙な検出回避を行う「LokiBot」

  • 投稿日:2020年3月10日
  • 脅威カテゴリ:不正プログラム
  • 執筆:Trend Micro
0

パスワードや暗号通貨の情報など、機密データを収集する機能を備えた「LokiBot(ロキボット)」の開発者は、このマルウェアにさらに資金を投じ更新を加えているようです。過去、トレンドマイクロは、リモートコード実行の脆弱性を突きWindows Installerを実行してLokiBotを配信する攻撃や、ISOイメージファイルを利用して配信されるLokibotの亜種、ステガノグラフィを利用し活動を持続化させる仕組みを更新した亜種を確認してきました。そして今回、人気のゲームとゲームエンジンの購入、ダウンロード、インストールなどの機能を提供する「ゲームランチャー(Game Launcher)」になりすまし、ユーザのコンピュータで実行させるよう仕向けるLokiBotを確認しました。解析の結果、この亜種の変わったインストール活動には、​​C#コードのファイルをドロップしてコンパイルする手法も使用されていました。この珍しいLokiBotの亜種は、配信後にコンパイルして検出を回避する手法を利用していましたが、トレンドマイクロの機械学習型検索によって「Troj.Win32.TRX.XXPE50FFF034」として予測検出されました。現在は、「Trojan.Win32.LOKI」ファミリとして検出対応しています。

(さらに…)

続きを読む
Tags: 検出回避

「EMOTET」が検出回避にトランプ大統領のニュース記事を利用?

  • 投稿日:2020年2月18日
  • 脅威カテゴリ:不正プログラム, ソーシャル, 攻撃手法
  • 執筆:Trend Micro
0

マルウェア検出の技術は進歩していますが、その検出を回避しようとするサイバー犯罪者側の動きも、様々なものが見られています。現在では多くのセキュリティベンダーが取り入れている、機械学習型検出では、不正コードの特徴などマルウェア特有の共通点を学習し、不審なプログラムファイルを警告します。これに対しサイバー犯罪者は、正規ファイルの情報をマルウェア内に取り込むことにより、特徴を変化させて検出を回避しようとする試みを行うことがあります。この機械学習型検出に対する回避の試みの例として、米ドナルド・トランプ大統領のニュースを利用したとみられるマルウェアが相次いで確認されました。

図1:トランプ大統領関連記事が確認できる「EMOTET」

(さらに…)

続きを読む
Tags: EMOTET検出回避

エクスプロイトキット「Capesand EK」の難読化機能を解説

  • 投稿日:2019年12月19日
  • 脅威カテゴリ:脆弱性, 攻撃手法
  • 執筆:Trend Micro
0

トレンドマイクロは、Adobe FlashとMicrosoft Internet Explorer(IE)の脆弱性を悪用するエクスプロイトキット「Capesand EK」を確認しました。概要については既にブログ記事(英語)をまとめておりますが、その後の詳細解析により、2つの難読化ツールを組み合わせた難読化機能を持つことがわかりました。このような複雑な難読化は標的型などの攻撃キャンペーンの準備段階である可能性があります。今回の記事では、この難読化機能についての詳細解析に基づいた解説を行います。

図1:エクスプロイトキット「Capesand EK」の操作パネル
図1:エクスプロイトキット「Capesand EK」の操作パネル

(さらに…)

続きを読む
Tags: エクスプロイトキット難読化処理検出回避

「POWELIKS」:Windows レジストリに不正なコードを隠ぺいする不正プログラムを確認

  • 投稿日:2014年8月6日
  • 脅威カテゴリ:不正プログラム, サイバー犯罪, TrendLabs Report
  • 執筆:Threats Analyst - Roddell Santos
0

トレンドマイクロは、Windows レジストリ内のすべての不正なコードを隠ぺいする不正プログラムを確認しました。この手法により、不正プログラムは検出を回避し、不正活動を隠ぺいすることが可能になります。「TROJ_POWELIKS.A」として検出されるこの不正プログラムは、実行されるとファイルをダウンロードし、PC上に感染します。この不正プログラムに感染した PC は、別の不正プログラムに感染される恐れがあり、被害はさらに拡大します。また、この不正プログラムは、PC上の情報を収集する機能があるため、サイバー犯罪者が別の攻撃を開始するのに利用される可能性があります。

(さらに…)

続きを読む
Tags: Windows レジストリWindows PowerShell検出回避


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.