311 Views
July 23, 23
スライド概要
マルウェアの分類には、複数の軸が存在する。見た目や、感染形態、機能、感染目的などが分類の軸としてよく使われる。しかし、混同することがあるため、バンキングトロイやRATなど複数の軸を持つものは混同されやすく、エイリアスやファミリ名でも混同が起こる。マルウェアに関する情報を検索する際には、明確なラベルにこだわるよりも、マルウェアと判断できる情報を得ることが重要である。例えば、Virus Totalは有名なウイルス検知サービスである。
おすすめタグ:Malware,Classification,Virus Total,RAT,Banking Trojan
Security Engineer & Researcher https://www.hacket-engine.com
マルウェアの分類はどこまで必 要とされているのか、いないの か 2020年1月 OWASP Nagoya Chapter meeting LT
マルウェアの分類を どんなときに必要としますか?
分類の体系 Win32、OSX、SWF、Linux、Docとか見た目の分類 感染形態に着目した分類 ワーム トロイの木馬 機能に着目した分類 (バックドア) ボット 感染目的に着目した分類 ランサムウェア WannaCry DDoS ファミリ名による分類 (コードによる分類) Mirai
感染形態に着目した分類 ❑ ❑ ❑ ❑ ❑ ウイルス ワーム トロイの木馬 ルートキット キーロガー バンキン グトロイ RAT (RemoteAccessTrojan)
機能に着目した分類 ❑ ダウンローダー ❑ ドロッパー ❑ ボット ❑ バックドア
感染目的に着目した分類 ❑ ❑ ❑ ❑ ❑ ❑ ❑ スパイウェア (盗んで稼ぐ) ランサムウェア (脅して稼ぐ) スケアウェア (脅して稼ぐ) アドウェア (広告で稼ぐ) コインマイナー (コイン掘って稼ぐ) (DoS攻撃/システム破壊) (スキャン/スパムメール送信)
Virus Totalの一例 これは何?
Emotet どうしましょう? トロイの木馬 バックドア 80-130のC2に接続し続ける スパイウェア ワーム メール情報や認証情報を 窃取するモジュール追加 感染拡大モジュールの追加 Trickbot, Ursnif, Ryuk をダウンロード してインストール ダウンローダー ボット ボットネットを形成 スパムメール送 信
マルウェア分類とは、もはや 混同しやすいラベル付けなのか!? ✓ 軸が異なるラベリングが混同する ✓ バンキングトロイ、RATなどは2軸を持っているた め、業界でも混同する ✓エイリアス(別名 aka.)により混同する ✓ファミリ名 ✓Sunbladeの別名は? ✓一つのマルウェアがオンメモリで進化するか ら混同する
マルウェアの分類はどこまで必 要とされているのか、いないの か Google検索して情報を得るためのキーワードであればよいのでは? あまりラベル名の意味にこだわりすぎず、マルウェア or NOT の判断できる情報 が重要
カンガルー • 哺乳綱(ほにゅうこう) – 有袋類(ゆうたい類) • 双前歯目(そうぜんしもく) – カンガルー科 » カンガルー属 • アカカンガルー • オオカンガルー • ・・・