Practical Malware Analysis Chapter0 まとめ
会社で貸与された700ページ以上ある洋書なのでメモを取りながら読む。
自分は英語が読めるわけではないが、おすすめされた本なので読み始めた。
ざっくり大切なところをまとめたかったが、翻訳、意訳がへたくそなので読みずらいところもあります。すみません。。。
第0章
MALWARE ANALYSIS PRIMER
[概要]
マルウェア解析をする前に基本的なアプローチと、用語の定義、マルウェアのタイプについての説明。
マルウェア解析のゴール
通常、マルウェア解析はネットワーク侵入に対応するために必要な情報を提供すること。
典型的なゴールは、「何が起こったか」、「マルウェアが侵入したファイルとマシン全体」を正確に特定すること。
マルウェア解析のテクニック
解析方法は静的解析と動的解析の2種類に分けられる。
- 基本的な静的解析
実際の動きを見ないで実行ファイルを調査する方法。
悪意のあるファイルかどうか確認できる。
しかし、洗練されたマルウェアや重要な可能性を見逃した場合には特に効果が得られない。
- 基本的な動的解析
実際にマルウェアを動かして観察する方法。
しかし、動かす前に環境を構築する必要がある。
以上の2通りに関しては、特に専門的なプログラミングに関しての知見は要さない。
- 応用的な静的解析
マルウェアの内部をリバースエンジニアリング、逆アセンブルし、プログラムを読んで解析していく方法。
基本的な静的解析よりも逆アセンブルの専門的な知識が要求される。
- 応用的な動的解析
悪意のあるマルウェアを動かしている間、内部ではどのような挙動が見られるか、デバッグして観察する。
実行ファイルから詳細な情報を引き抜くテクニックがある。
マルウェアのタイプ
自分自身で攻撃者がコンピュータに侵入できる様な、悪意のあるコードをインストールする。
普段、ローカルシステム上で、権限が権限が有るものも、無いものも、攻撃者がコンピュータにアクセスしやすいコマンドを実行する。
バックドアに似て、攻撃者の侵入を助長する。
しかし、ある一つのコマンドコントロールサーバー(c2サーバーのこと?)から侵入し、すべてのマシンに感染する。
共通して、攻撃者がシステムに侵入してから最初にインストールする。
次々に悪意のあるコードやプログラムをダウンロードする。
- 情報を盗むマルウェア
犠牲者のコンピュータから情報を集めて攻撃者に送信する。
例)スニファー(sniffer)、パスワードハッシュ、キーロガー等
- ランチャー(Louncher)
悪意のあるコードは他の悪意のあるコードによって実行される。
一般的に、あまり普及していないテクニックを使用しているプログラムを隠すために用いられる。
悪意のあるコードは他のコードを隠すために設計されている。
バックドアなど、遠隔で攻撃者がアクセスするときに検出されずらいようにする。
- スケアウェアー(Scareware)
マルウェアは感染されたユーザーが怖がらせ何かを購入するようデザインされている。
表面上ではウイルス対策プログラムや、他のセキュリティ製品のふりをする。
しかしそのような”ソフトウェア”を購入してもスケアウェアを取り除くことはできない。
- スパム送信マルウェア
ユーザのマシンに侵入してスパムを送信する。
このマルウェアは攻撃者に利益をもたらす。
自分自身で悪意のあるコードをコピーして感染したコンピュータに付随する他のコンピュータにも感染する。
- ワーム、ウイルス
自分自身で悪意のあるコードをコピーして感染したコンピュータに付随する他のコンピュータにも感染します。
マルウェアを解析するための全般的なルール
- 細部にとらわれすぎないで。ほとんどのマルウェアは広大で複雑で、恐らく全ての個所を理解できないでしょう。カギとなる部分に集中して。
- 異なったツールとアプローチの仕方は他のjobにも利用できることを覚えておく。すべてのシチュエーションは異なる、そして様々なツールやテクニックは今まで学んだことに似ているか重なるだろう。
- マルウェアの解析はいたちごっこに似ている。新しいマルウェアの解析方法が開発されれば、マルウェアの開発者は解析を阻止するように応えるだろう。
電子書籍版はこちらにリンクを置いておきます。
個人的に物理本よりも電子書籍の方がよい気がします。
ページ数も多く重たいので。あと、洋書なので調べたい単語もすぐ調べられる方が便利ですし。。。
価格:4,678円 |