研究者のジェームズ・ワイク氏は、マルウェアが捜査員を困惑させるために使用する欺瞞戦術を発見した。
これらの戦術は、被害者のコンピューターとマルウェア研究者が使用するコンピューターを区別するのに役立つ技術的アーティファクトを見つけるために VX 担当者が使用する一連の優れた方法の一部です。
マルウェア作成者は、被害者のマシンに感染する際に、ウイルス対策ソフトを作動させない限り、多少のノイズを発生させることができたが、ホワイトハット研究者のマシンにマルウェアが出現した場合は、完全に沈黙しなければならなかった。
研究者がマルウェアのトリックを解明できれば、VX開発者がステルス性の高い攻撃手法を開発するために投入したリソースを無駄にする可能性があります。そのため、ほとんどのマルウェアは、無害に見えるように見せかけたり、コマンド&コントロールサーバー(C&C)や攻撃手法を隠蔽しようとしたりしました。
この戦術では、C&C アドレスを隠したり、偽のアドレスを作成したり、また、マルウェアが研究者のマシン上で実行されていることが検出されると IP アドレスをブラックリストに登録したりする。
ソフォスのワイク氏は、アンドロメダ ダウンローダーが C&C を研究者から隠蔽し、一方、ポンモカップは盗んだデータの送信先サーバーを隠蔽し、被害者をさらにハッキングするためのアップデートを受け取っていたことを発見した。
Shylockマルウェアの隠れ場所
Shylock バンキング型トロイの木馬は、正当な被害者のマシンで実行されている場合にのみ実際の C&C アドレスを使用し、仮想環境でマルウェアを観察したい研究者を騙すために偽のデータを作成しました。
Simda Trojan は、既知のマルウェア研究者のブラック ブックを維持しており、研究者がつまずいて自分自身を明らかにするたびに、そのブラック ブックが更新されていました。
ワイク氏は、職務の一環として、あるいはより一般的には趣味として、マルウェアを詮索し、サンプルを共有して、VX 攻撃者が使用する最新の回避策や隠蔽策を発見するマルウェア研究者のグループの 1 人でした。
来月シアトルで開催されるVirus Bulletin 2014カンファレンスで発表される他の研究では、カリフォルニア大学の3人の研究者が、マルウェア調査者が検出を回避するのを助けるハイブリッド分析システムを開発した。
BareCloud フレームワークは、ベアメタル分析の速度と、エミュレートされたプラットフォームの 1 つがマルウェアに未知であるという期待とのバランスをとるために、ベアメタル環境と仮想化環境の組み合わせでマルウェアを分析しました。
開発者らは、この製品はシステムに永続的な変更を加えたり、コマンド アンド コントロール サーバーに接続したりしようとするマルウェアの試みを検出できると述べている。これは、製品が損害を与えるために実行する必要がある機能である。®
