2007年05月31日 - マルウェア自動解析システムは、万全ではない - 仮想環境を検出するマルウェア
IPAのウイルス情報iPedia(ウイルス情報データベース)(20070530, Semplice)の続き。
セキュリティもみじで飲み会の後に星澤さんに、市電到着前に切々と語ってた話のぶり返しになります。
あるマルウェアの実行形式ファイルをアップロードしてスキャンにかけると、レジストリの変更点や作成されるファイルの一覧を洗い出し。悪意があるソフトウェアであるか否かを判別するような機能である。
Virusu Totalによる各社のスキャン結果を眺めるのも一興だけど、未知の拾ったばかりの検体がインストール後にどのような挙動を示すのかを眺めるには、面白いものではある。
だが、現況ではそれほど十分なものではないような。
JANOG16にてSymantecの中山雄克氏が、「Infection Network内での仮想インターネットの構築(http://www.pineapple.gr.jp/JANOG16/vinet.pdf)」なるプレゼンを行いました。
アンチウイルスソフトメーカーでは、社内の倫理規定みたいなものにて、感染マシンをモロな形でネットワークに接続して挙動観察を行えません。
近年のボットやダウンローダー系では、新たなファイルのダウンロードなどが頻繁に行われますが、十分には追いきれていないのでは。
バーチャルな解析システムにおいても、プロキシ状態のシステムを用いて解析してはおりますが、一つ問題があります。
ある種のマルウェアは、バーチャル環境であるのを検出し、活動を停止したり・またひっそりと隠蔽工作を行います。
ニュース記事より関連記事を幾つか紹介しましょうか。
「悪質プログラムは仮想マシンを回避する」,商用ツールを利用するケースも(日経IT Pro)
具体的な例としては、自分のブログの 不審なアンチスパイウェアソフトと、ZlobとCodec(コーデック)の関係(2006年4月8日, Semplice)でしょうか。
これはVirtual PC環境下では活動せず、実機でなければ検証作業が行えませんでした。また実機であってもネットワークに接続していない環境であると、「正常」な動作は行われず。
世界規模で数十万・もしくはそれ以上の被害者が生じていたものの、大手ウイルスソフトメーカーの対応が極めて不十分だった事例であります。
コーデック系トラップは日本国内では相応の被害者が生じていたにも関わらず、大手メーカーの対応も遅れ、またユーザーコミュニティにおいても情報交換が積極的に行われず。
あえてここで書くべきではありませんが。検体をスキャンしてもスルーした製品のメーカーの広報担当者が、ニュースポータルにて偉そうに説教を垂れてたのに反感を感じ、直メルを送信したりしましたが。
木で鼻をくくった返信なのでがっかりしました。
セキュリティもみじで飲み会の後に星澤さんに、市電到着前に切々と語ってた話のぶり返しになります。
自動解析システムとは
あるマルウェアの実行形式ファイルをアップロードしてスキャンにかけると、レジストリの変更点や作成されるファイルの一覧を洗い出し。悪意があるソフトウェアであるか否かを判別するような機能である。
Virusu Totalによる各社のスキャン結果を眺めるのも一興だけど、未知の拾ったばかりの検体がインストール後にどのような挙動を示すのかを眺めるには、面白いものではある。
だが、現況ではそれほど十分なものではないような。
自動解析システムの問題点
JANOG16にてSymantecの中山雄克氏が、「Infection Network内での仮想インターネットの構築(http://www.pineapple.gr.jp/JANOG16/vinet.pdf)」なるプレゼンを行いました。
アンチウイルスソフトメーカーでは、社内の倫理規定みたいなものにて、感染マシンをモロな形でネットワークに接続して挙動観察を行えません。
近年のボットやダウンローダー系では、新たなファイルのダウンロードなどが頻繁に行われますが、十分には追いきれていないのでは。
バーチャル環境を検出し、活動を抑制するマルウェア
バーチャルな解析システムにおいても、プロキシ状態のシステムを用いて解析してはおりますが、一つ問題があります。
ある種のマルウェアは、バーチャル環境であるのを検出し、活動を停止したり・またひっそりと隠蔽工作を行います。
ニュース記事より関連記事を幾つか紹介しましょうか。
「悪質プログラムは仮想マシンを回避する」,商用ツールを利用するケースも(日経IT Pro)
ラックの先端技術開発部部長、新井悠氏は2006年にハニーポットを利用して、ウイルス対策ソフトウェアで検知可能なボット検体を6378個収集した。しかし、いざ仮想環境で動作させてみると「3割近くが異常終了し、2割が10秒以内に活動停止してしまった」という。
プロが語るボットネット対策の特効薬は「情報共有」(20070429, ITmedia)
ウイルス対策ソフトに検出されないための“工夫”も凝らす。その一つが,ボット本体をいきなり感染させるのではなく,まずはダウンローダ(別のプログラムをダウンロードして実行するプログラム)をユーザーのマシン上で実行させて,その後にボット本体をインストールさせる。ダウンローダ自体の機能は悪質なものではないので,対策ソフトで検出できない場合があるという。
多くの場合ハニーポットでは,仮想マシン上で動作させたゲストOSにボットを感染させる。そこで“ハニーポット回避機能”を持つボットは,自分が感染した環境を調べ,ゲストOSだった場合には自分自身を消去するという。
「ボットネットは“目立たない”ように工夫を凝らす」---IIJの齋藤氏(2006年11月16日, 日経IT Pro)
具体的な例としては、自分のブログの 不審なアンチスパイウェアソフトと、ZlobとCodec(コーデック)の関係(2006年4月8日, Semplice)でしょうか。
これはVirtual PC環境下では活動せず、実機でなければ検証作業が行えませんでした。また実機であってもネットワークに接続していない環境であると、「正常」な動作は行われず。
世界規模で数十万・もしくはそれ以上の被害者が生じていたものの、大手ウイルスソフトメーカーの対応が極めて不十分だった事例であります。
コーデック系トラップは日本国内では相応の被害者が生じていたにも関わらず、大手メーカーの対応も遅れ、またユーザーコミュニティにおいても情報交換が積極的に行われず。
あえてここで書くべきではありませんが。検体をスキャンしてもスルーした製品のメーカーの広報担当者が、ニュースポータルにて偉そうに説教を垂れてたのに反感を感じ、直メルを送信したりしましたが。
木で鼻をくくった返信なのでがっかりしました。
Posted by Luca at 20:56
│
│
2007年05月30日 - IPAのウイルス情報iPedia(ウイルス情報データベース)
「このウイルスってどんなの?」を簡単検索できるデータベース、IPA (ITMedia)によれば、独立行政法人 情報処理推進機構がウイルス情報データベースなるサービスを公開したとのこと。
早速ウイルス情報iPedia(ウイルス情報データベース)(IPA)を試してみたのだ。
Taripox、hikaru、codegreen、redlof、dnscanger、Satiloler。何も出てこない。
aliz、mtxでは全く無関係のものばかり。
やや古いウイルスの情報は登録されていないようだ。
最近のものであっても、表示される検索結果が少ない。
所謂インチキソフト、WinAntiVirusPro、MalwareWipe、ErrorSafeでも同様に、何も出てこない。
「ウイルス」ではないからか?
例としてnetskyを検索し、表示されたウイルス情報は7件。
マウスの右クリックより新しい画面で開こうとしてもできないし、左クリックでポチリと開く。
詳細画面の下部の「戻る」をクリックすると。
「警告 : ページの有効期限切れ」。短時間でもう有効期限切れとされ、凄く使いづらい。
「検索キーワードには半角英数字を1キーワードだけ入力してください。」とあり、これもやりづらい。絞込み検索もできない。
詳細画面の情報をどこかで紹介しようにも、URI(URL)が無いので難しい。同じような事を考えてる人も居ますね。
ウイルス情報データベースはこの際どうでもいいんですが、IPAのZero Hour Analysis(ウイルス等迅速解析ツール)には大変興味があります。
株式会社セキュアブレインのSecureBrain Zero-Hour Response Systemみたいなサービスなのかな。
(セキュアブレイン、全自動かつ高速にマルウェアの解析と駆除ツールの生成を行うシステム「SecureBrain Zero-Hour Response System」を開発、販売を開始―新種のマルウェアに対し迅速かつ正確な対応が可能に―(株式会社セキュアブレイン))
近年、ボット(Bot)やまた多くのマルウェアは、ダウンローダー的機能 - 新たなファイルをどこからか入手しインストール - するものが多い。
IPAのZero Hour Analysisでは、対応できるんだろうか。
早速ウイルス情報iPedia(ウイルス情報データベース)(IPA)を試してみたのだ。
IPAのウイルス情報iPediaは、まだまだ未完成なのだろうか
Taripox、hikaru、codegreen、redlof、dnscanger、Satiloler。何も出てこない。
aliz、mtxでは全く無関係のものばかり。
やや古いウイルスの情報は登録されていないようだ。
最近のものであっても、表示される検索結果が少ない。
所謂インチキソフト、WinAntiVirusPro、MalwareWipe、ErrorSafeでも同様に、何も出てこない。
「ウイルス」ではないからか?
使い勝手が悪い、IPAのウイルス情報iPedia
例としてnetskyを検索し、表示されたウイルス情報は7件。
マウスの右クリックより新しい画面で開こうとしてもできないし、左クリックでポチリと開く。
詳細画面の下部の「戻る」をクリックすると。
「警告 : ページの有効期限切れ」。短時間でもう有効期限切れとされ、凄く使いづらい。
「検索キーワードには半角英数字を1キーワードだけ入力してください。」とあり、これもやりづらい。絞込み検索もできない。
詳細画面の情報をどこかで紹介しようにも、URI(URL)が無いので難しい。同じような事を考えてる人も居ますね。
リンクとかはって他者アナウンスには使用できなさげ。
インフラ管理者の独り言(はなずきん@酒好テム管理者)
IPAのZero Hour Analysisなるウイルス解析ツール
ウイルス情報データベースはこの際どうでもいいんですが、IPAのZero Hour Analysis(ウイルス等迅速解析ツール)には大変興味があります。
IPAでは、独自に開発した「Zero Hour Analysis(ウイルス等迅速解析ツール)」を用いて受け取ったウイルス/ボットを解析。ファイル名やプログラムの種別、動作内容などを詳細に解析し、その結果をウイルス情報iPediaに登録していく。
「このウイルスってどんなの?」を簡単検索できるデータベース、IPA (ITMedia)
株式会社セキュアブレインのSecureBrain Zero-Hour Response Systemみたいなサービスなのかな。
(セキュアブレイン、全自動かつ高速にマルウェアの解析と駆除ツールの生成を行うシステム「SecureBrain Zero-Hour Response System」を開発、販売を開始―新種のマルウェアに対し迅速かつ正確な対応が可能に―(株式会社セキュアブレイン))
近年、ボット(Bot)やまた多くのマルウェアは、ダウンローダー的機能 - 新たなファイルをどこからか入手しインストール - するものが多い。
IPAのZero Hour Analysisでは、対応できるんだろうか。
Posted by Luca at 06:47
│
│
2007年05月24日 - 児童ポルノ、ロリータ画像、チャイルドポルノは、マルウェア被害者への罠と暗黙の脅迫目的
チャイルドポルノは一部の国や地域では所持そのものが違法行為で、警察に怒られるだろう。
違法でなかったとしてもだ、単純な所持が違法行為とされない国や文化圏であっても、背徳的とされるだろうに。
前々から疑念を感じていたんですが、所謂ロリータ画像を表示させるようなトラップは、感染者による通報や訴訟を回避する効果があるだろう。
感染者の気持ちをうまーく誘導し、口封じ的な目的でロリな未成年画像を表示させる手口があるのではと。
以前、インチキなスパイウェア対策ソフトであるSpyware Stormerに関する取材や調査にて副次的に、違和感を感じる実態に気付いた。
どこかに相談したいと望むものの、気恥ずかしさや非難を怖がってどこの誰にも相談できず、泣き寝入りを強要される事例もあるんではないでしょうか。
それが業者側の狙いだったならば、どうでしょうか。
では、言い回しを変えましょう。
「悪質なアドウェアやブラウザハイジャッカーにより表示される画像・リダイレクトされるサイトに児童ポルノが含まれるよう仕向ける」業者があるならば、被害者の抵抗を回避できる可能性が高いですよね。
この場合の抵抗とは、スパイウェア対策フォーラムや掲示板への相談や通報、消費者団体などへの通報を含みます。
ロリ嗜好が無い被害者のパソコンにであっても、感染後に無理矢理表示させる画像がロリだったらば、被害者はどこかの権威ある機関や職場のネットワーク管理者へ通報できなくなっちゃいますよね
(「ドアページが所謂チャイルドポルノやロリだったのか否か」は別としてですよ。)
最近幾人かとかなり感情的話を混じえてやり取りしているんですが。
画像が「成人女性(または男性?)」のトラップで、またアダルトサイトとは無縁に見えるようなリンクを踏んで何かに感染したらば、児童ポルノが表示される可能性も考えて下さいな。
トラックバックスパムやコメントスパム、または悪質広告や検索エンジンスパムで表示されるようなサイト経由にて、自分は多くの笑っちゃうほど多数のいかがわしいマルウェアを踏んでおりますが。3-4割はどこかでロリが絡みますよ。マイナーなものとしては、獣姦とかゲイとかその他諸々。
そこで、だ。
「ロリ画像が表示されるスパイウェア感染者(この場合は広義のスパイウェアを指す)を、メタメタに攻撃し。背徳的な性癖を持つような相談者は消えろ自業自得だ」と唱えるのはいかがなものでしょうか。
悪質業者が積極的に何らかの目的のために、ロリータ画像・未成年の性交画像やモロ画像をですね、マルウェア感染後に表示させるようにしたならば、どうなんでしょうか。
自分ならば、人格を疑われたくないとかその他諸々の葛藤の末に、パソコンをハンマーで破壊してしまうやも。
んな恥ずかしい状態のパソコンを、どっかの「ウイルス対策サービス」とかに修復を依頼できますか?職場のネットワーク管理者やヘルプデスクに報告できますか?
悪質な業者の狙いがわかりませんか?
Internet Explorerの脆弱性を突くようなドアページは、世の中に多々ありますよね。
また安全と思わせつつ悪質なアドウェア(広告配信プログラム)をダウンロードさせるようなサイトとか。
ブログへのトラックバックを辿ったらば、気がついたらば感染し、ホームページを書き換えられてブックマークに変なサイトがズラズラと追加されていたとか。
散文的になりましたので、端的にまとめますが。
「チャイルドポルノのポップアップやリダイレクトが症状として報告される」との事例は、マルウェアに感染した被害者が反社会的なサイトや風変わりな性癖を持っていなかったとしても、ありきたりな事例なのだよ。
いきなり教条的に、被害者に対して罵声を浴びせかけてどうなるんですか?社会の規範を守るヒーローを気取るんですか?
悪質なマルウェア - アドウェアやブラウザハイジャッカーやホームページハイジャッカー - これらにある程度接した方ならば、感染源は怪しいアダルトサイト以外のありきたりなリンクである事例を、当然多々経験しているでしょう。
「危険かつ反社会的なアダルトサイトに行った罰だ」とのたまう方々は、実際には多くの事例を踏んでいないんですかね?
自分が知らない事例を曲解して、被害者をより一層貶めて苦しめるのは、ボランティア精神なるものに本当に即しているんでしょうか?
所謂『対策側」とか、ネット上で「回答者」を名乗るような方ならば、論より証拠でまず多くの感染源を踏んでみれば良い。
児童ポルノとは全く無関係なリンクを踏んで、感染する・表示される事例は多々あるではないか。
君らは知らないやもしれないが、実態として多くのロリサイト・ロリ画像は、一般的なリンクやスパムメール経由感染にて、感染者に強制表示されている。
事例報告をする相談者に対して、自己満足で騒いで。被害者を面白半分に攻撃して楽しんで。それで何が解決し変わるんですか?
自己満足な正義感きどりな回答で、本当に悪意が無い被害者による必死の「誰か助けて、お願いします」との投稿を、思い込みによる罵詈雑言で潰していいんでしょうか?
違うだろうと、君らが実態を知らないだけではないかと。
違法でなかったとしてもだ、単純な所持が違法行為とされない国や文化圏であっても、背徳的とされるだろうに。
前々から疑念を感じていたんですが、所謂ロリータ画像を表示させるようなトラップは、感染者による通報や訴訟を回避する効果があるだろう。
感染者の気持ちをうまーく誘導し、口封じ的な目的でロリな未成年画像を表示させる手口があるのではと。
以前、インチキなスパイウェア対策ソフトであるSpyware Stormerに関する取材や調査にて副次的に、違和感を感じる実態に気付いた。
今回の件とは直接の関わりが無く、一部伝聞を含む話だが。
じっくりと数えたのではないが、この手の悪質ソフトはチャイルドポルノ関連のサイト絡みでよく悪意を持って(自分が何かに感染していると誤解させるような形で)広告されるとのこと。これは海外ではそのような画像を所持しているだけで禁固刑になるような背景を悪用し、悪質ソフトを購入したユーザーが司法や関係機関に訴えられないような状況を作り出してやっているとしか考えられない。
つまり、(パソコンの利用者が閲覧し感染したサイトがアダルトコンテンツを含まないものであったとしても!)チャイルドポルノを含むサイトを強制表示させる例が多い。
そのため感染したユーザーは、パソコンの購入元や修理サービスのサポートを事実上受けられなくなる(修理担当者により誤解され警察に通報された場合、そのような性癖が無かったとしても、法律により禁固刑を受ける可能性に怯えなければならなくなるそうだ)。
Spyware Stormerは存在しない脅威で脅迫する(2004年10月16日, Semplice)
どこかに相談したいと望むものの、気恥ずかしさや非難を怖がってどこの誰にも相談できず、泣き寝入りを強要される事例もあるんではないでしょうか。
それが業者側の狙いだったならば、どうでしょうか。
では、言い回しを変えましょう。
「悪質なアドウェアやブラウザハイジャッカーにより表示される画像・リダイレクトされるサイトに児童ポルノが含まれるよう仕向ける」業者があるならば、被害者の抵抗を回避できる可能性が高いですよね。
この場合の抵抗とは、スパイウェア対策フォーラムや掲示板への相談や通報、消費者団体などへの通報を含みます。
ロリ嗜好が無い被害者のパソコンにであっても、感染後に無理矢理表示させる画像がロリだったらば、被害者はどこかの権威ある機関や職場のネットワーク管理者へ通報できなくなっちゃいますよね
(「ドアページが所謂チャイルドポルノやロリだったのか否か」は別としてですよ。)
最近幾人かとかなり感情的話を混じえてやり取りしているんですが。
画像が「成人女性(または男性?)」のトラップで、またアダルトサイトとは無縁に見えるようなリンクを踏んで何かに感染したらば、児童ポルノが表示される可能性も考えて下さいな。
トラックバックスパムやコメントスパム、または悪質広告や検索エンジンスパムで表示されるようなサイト経由にて、自分は多くの笑っちゃうほど多数のいかがわしいマルウェアを踏んでおりますが。3-4割はどこかでロリが絡みますよ。マイナーなものとしては、獣姦とかゲイとかその他諸々。
そこで、だ。
「ロリ画像が表示されるスパイウェア感染者(この場合は広義のスパイウェアを指す)を、メタメタに攻撃し。背徳的な性癖を持つような相談者は消えろ自業自得だ」と唱えるのはいかがなものでしょうか。
悪質業者が積極的に何らかの目的のために、ロリータ画像・未成年の性交画像やモロ画像をですね、マルウェア感染後に表示させるようにしたならば、どうなんでしょうか。
自分ならば、人格を疑われたくないとかその他諸々の葛藤の末に、パソコンをハンマーで破壊してしまうやも。
んな恥ずかしい状態のパソコンを、どっかの「ウイルス対策サービス」とかに修復を依頼できますか?職場のネットワーク管理者やヘルプデスクに報告できますか?
悪質な業者の狙いがわかりませんか?
Internet Explorerの脆弱性を突くようなドアページは、世の中に多々ありますよね。
また安全と思わせつつ悪質なアドウェア(広告配信プログラム)をダウンロードさせるようなサイトとか。
ブログへのトラックバックを辿ったらば、気がついたらば感染し、ホームページを書き換えられてブックマークに変なサイトがズラズラと追加されていたとか。
散文的になりましたので、端的にまとめますが。
「チャイルドポルノのポップアップやリダイレクトが症状として報告される」との事例は、マルウェアに感染した被害者が反社会的なサイトや風変わりな性癖を持っていなかったとしても、ありきたりな事例なのだよ。
いきなり教条的に、被害者に対して罵声を浴びせかけてどうなるんですか?社会の規範を守るヒーローを気取るんですか?
悪質なマルウェア - アドウェアやブラウザハイジャッカーやホームページハイジャッカー - これらにある程度接した方ならば、感染源は怪しいアダルトサイト以外のありきたりなリンクである事例を、当然多々経験しているでしょう。
「危険かつ反社会的なアダルトサイトに行った罰だ」とのたまう方々は、実際には多くの事例を踏んでいないんですかね?
自分が知らない事例を曲解して、被害者をより一層貶めて苦しめるのは、ボランティア精神なるものに本当に即しているんでしょうか?
児童ポルノ表示系トラップへの感慨
所謂『対策側」とか、ネット上で「回答者」を名乗るような方ならば、論より証拠でまず多くの感染源を踏んでみれば良い。
児童ポルノとは全く無関係なリンクを踏んで、感染する・表示される事例は多々あるではないか。
君らは知らないやもしれないが、実態として多くのロリサイト・ロリ画像は、一般的なリンクやスパムメール経由感染にて、感染者に強制表示されている。
事例報告をする相談者に対して、自己満足で騒いで。被害者を面白半分に攻撃して楽しんで。それで何が解決し変わるんですか?
自己満足な正義感きどりな回答で、本当に悪意が無い被害者による必死の「誰か助けて、お願いします」との投稿を、思い込みによる罵詈雑言で潰していいんでしょうか?
違うだろうと、君らが実態を知らないだけではないかと。
Posted by Luca at 22:12
│
│
