松川さんキタ━━━━(゜∀゜)━━━━ッ!!マルウエアの解析話です！

マルウェアにとっての天敵は何と言ってもウイルス対策ソフトでしょう。そのため、マルウェアがウイルス対策ソフトを無効化するための機能を備えていることは珍しくありません。ウイルス対策ソフトが検出対応するよりも前にコンピュータの中に入り込むことに成功しさえすれば、あとはマルウェアがウイルス対策ソフトの機能を阻害することで、そのマルウェアの検出を防ぐことができてしまいます。これによってマルウェアの延命が図られるわけです。このような機能は「アンチ・アンチウイルスソフト」と呼ばれています。もちろん、ウイルス対策ソフト側もこのような状況を黙って見過ごしているわけではありません。「アンチ・アンチウイルスソフト」機能を分析し、不正動作の監視など「アンチ・アンチ・アンチウイルスソフト」とも呼べる機能を搭載して「アンチ・アンチウイルスソフト」機能と戦っています。しかし、結果としての「いたちごっこ」状態の中、使われる手法は巧妙さを増していっています。先日解析を終えたマルウェア「BKDR_SRAOW.A」も、巧妙な「アンチ・アンチウイルスソフト」機能を備えたマルウェアでした。

マルウェア解析の現場から-07 「アンチ・アンチウイルスソフト」 | トレンドマイクロ セキュリティブログ

暗号化されたC&Cとの通信

C&Cサーバに接続し、「BKDR_SRAOW.A」が備える機能を利用するための情報（攻撃者からのコマンドに相当）を受信します。この中に対象となる実行ファイルのリストが含まれているのです。当然ながら受信する内容は随時変化する可能性がありますが、今回の解析中には次の内容を実際に受信しました

マルウェア解析の現場から-07 「アンチ・アンチウイルスソフト」 | トレンドマイクロ セキュリティブログ

マルウェアの動作をコードレベルで解析するソフトを利用すれば、プログラム内部で復号した状態のものを見ることができます

マルウェア解析の現場から-07 「アンチ・アンチウイルスソフト」 | トレンドマイクロ セキュリティブログ

「BKDR_SRAOW.A」は復号したデータの中の[Block]セクション内に登録されているファイル名のファイルをブロック対象実行ファイルとします。今回の受信データでは67ものファイルが登録されていました。これらはすべてウイルス対策ソフトが使用しているモジュールの名前であると思われます。そしてもちろん、攻撃者はこの受信させるデータを任意のタイミングで変更することができてしまいます。

マルウェア解析の現場から-07 「アンチ・アンチウイルスソフト」 | トレンドマイクロ セキュリティブログ

わかんないってｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ