解析妨害
Anti-Virtualization
Anti-debugging
Anti-Sandbox
- RDP detection
"The dropper dynamically loads Winscard.dll and calls the functionSCardForgetReaderGroupA(0, 0)," writes Fishman. "The malware proceeds as expected only if the return value is either 0x80100011 (SCARD_E_INVALID_VALUE) or 0x2 (ERROR_FILE_NOT_FOUND). We noticed that when the dropper is executed locally the return value is 0x80100011, but when it is executed from a remote desktop session the return value is 0x80100004 (SCARD_E_INVALID_PARAMETER)."
Financial Malware Detects Remote Desktop ...
Anti-Disassembly
難読化
- xor
その他
セキュリティ機能の無効化
- セキュリティ機能に関連するプロセスの停止
- 例)MSASCui.exe、wscntfy.exeなど
- APIフックによるセキュリティ機能のバイパス
- 例) explorer.exeにコードをインジェクションし、wscntfy.dllまたはactioncenter.dllのIATテーブルをフックすることで、セキュリティに関する通知を抑制
- UACをDLLのロード順序を悪用してバイパス
http://www.iij.ad.jp/company/development/report/iir/pdf/iir_vol20_infra.pdf Internet Infrastructure Review (IIR) Vol.20
その他
- Virus Bulletin :: Kelihos checks machines' IP addresses against DNS blacklists Keliosは感染端末のIPアドレスがBlacklistに掲載されていないことを確認した後、スパムメールの送信を行う。
- ロールバック機能によって、駆除後に再感染するマルウェアを確認(アンラボ) 1枚目の写真・画像 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]対策後もロールバックするマルウェア
- 検出を回避するためダイナミック・リンク・ライブラリ・ファイルを使用するマルウェアが増加しているhttp://www2.fireeye.com/rs/fireye/images/fireeye-advanced-threat-report-2h2012.pdf
- マウス操作が無い場合にはメインの処理を行わないことで、サンドボックス解析を回避http://www.fireeye.com/blog/technical/2012/12/dont-click-the-left-mouse-button-trojan-upclicker.html
- 偽の証明書を用いて署名付きバイナリを作成することで、検知の可能性を低減させているhttp://www.fireeye.com/blog/technical/cyber-exploits/2013/02/lady-boyle-comes-to-town-with-a-new-exploit.html
- 起動用のレジストリーキーを実行時に削除し、システムのシャットダウンを検出した時点で再びレジストリーに書き戻す。ZeusとCarberpの機能を合体したトロイの木馬「Zberp」が出現 - CIOニュース:CIO Magazine