>> サイバーニュース >トップ 6 デバイス上のマルウェアを隠す高度な難読化手法
サイバーニュース

上 6 デバイス上のマルウェアを隠す高度な難読化手法

サイバー犯罪者がシステムに侵入できるようにするために、ますます洗練された革新的な方法が開発されています。. ハッカーが採用している難読化手法と、ハッカーから身を守る方法を以下に示します。.

難読化は、マルウェア作成者がウイルス対策スキャナーを回避するために広く使用されています. これらの難読化手法がマルウェアでどのように使用されているかを分析することが不可欠です. 指数関数的なレベルで開発されている新しい方法と技術, サイバーセキュリティ研究者が探求することは常緑の問題になります.

1. デッドコードの挿入

これは、プログラムに効果のない命令を追加して外観を変更することで機能する、単純な基本的な手法です。, でも, その動作を変更しない. 形 1 と 2 nop命令を追加することにより、元のコードが難読化されるのがいかに簡単かを表示します. デッドコード挿入と戦うため, 署名ベースのウイルス対策スキャナーは、分析前に無効な指示を削除できる必要があります. したがって, 難読化されたコード, その生存を確保し、検出をより困難にしようとしています, 一部のコードシーケンスは、図に示すように表示される可能性があります 3.

2. 再割り当てを登録する

レジスタの再割り当ては、レジスタを世代から世代に切り替える手法であり、その間、動作を変更せずにプログラムコードを保持します。. 形 4 は、図で使用されている元のコードがレジスタの切り替えによって進化した例を示しています。. (Win95/Regswapウイルスに採用)

ワイルドカード検索により、この難読化された手法が役に立たなくなる可能性があることに注意してください.

3. サブルーチンの並べ替え

サブルーチンの並べ替えは、コードのサブルーチンの順序をランダムに変更することにより、ウイルス対策プログラムによる元のコードの検出を困難にする難読化手法です。. この手法でnを生成できるというのは非常に賢い言い方です! さまざまなバリエーション, ここで、nはサブルーチンの数です。, 例えば, Win32/Ghostには10個のサブルーチンがありました, 意味 10! = 3628800 異なる世代のコード.

関連記事: Gmailはマルウェアに対抗するためのJavaScript.JS添付ファイルを禁止します

4. 命令サブルーチン

この種の難読化手法では、一部の命令を元の命令と同等の他の命令に置き換えることで、元のコードを確実に進化させます。. 図から例をとる 5, xorはsubに置き換えることができ、movはpush/popに置き換えることができます. この手法により、コードを同様の命令のライブラリに変更できます.

5. コード輸送

コードの転置では、コードの動作に目に見える影響を与えることなく、元のコードの命令のシーケンスを並べ替えます。. 本質的に, この手法を実行に移すには2つの方法があります.

最初の方法, 図に例示 6, 命令をランダムにシャッフルします, 無条件の分岐またはジャンプを挿入して、元の実行順序の回復に進みます. このタイプの難読化に対抗する方法は、無条件の分岐またはジャンプを削除して元のプログラムを復元することです。. 比較において, 2番目の方法は、相互に影響を与えない無料の命令を選択して並べ替えることにより、新しい世代を作成します. 無料の説明を見つけることは洗練された複雑な問題です. この方法は実装が難しい, でも, また、検出コストが高くなる可能性があります. 形 7 2番目の方法を示します.

6. コード統合

コード統合は、Zmistとしても知られるWin95/Zmistマルウェアによって最初に導入されました。. Zmistマルウェアは、ターゲットプログラムのコードに自分自身をバインドします. この難読化のテクニックを実行するために, Zmistは、最初にターゲットプログラムを小さな管理可能なオブジェクトに逆コンパイルする必要があります, そしてそれらの間にスロット自体, 統合されたコードを新しい世代に再構築することに進みます. これは最も洗練された難読化手法の1つであり、検出と回復を非常に困難にする可能性があります, だけでなく、高価.

関連記事: Rurktarマルウェアが発見されました–開発中のスパイツール

高度なマルウェアの難読化から身を守る方法

上記の難読化手法の多くは、マルウェアコードを変更して署名ベースの検出を回避するか、悪意のある動作を使用することを含みます。, 後から考えるとそう結論しますが. マルウェアの難読化はサイバーセキュリティの複雑な問題であり、ユーザーに対するマルウェアの難読化の方法を変えることができるかもしれませんが, それにもかかわらず、悪意のある動作を変更することはできません, したがって、ウイルス対策ソフトウェアと高度な検出ソリューションの多くは、疑わしい動作に基づいてコア検出の原則に基づいています。. マルウェアも フックプロセス 悪意のあるトラフィックをマスクするための既知のネットワーク機能.

このようなソリューションは、「サンドボックス」と呼ばれる用語で平均的なユーザーに付属するすべての通常のソフトウェアで被害者の役割を果たします。. システムが疑わしい動作のファイルを検出したとき, シミュレートされたこれらの閉じたサンドボックス環境でそれらを実行して、それらの信頼性をテストします. このようなシステムは、数百の既知の典型的なマルウェアの動作を監視することにより、システムに侵入する疑わしいファイルが悪意のあるものであるかどうかを正確に判断できます。.

それは犯罪者がサンドボックスに気づいていないということではありません. 実際のところ, 最新の回避戦術のいくつかは、サンドボックスを回避することのみを目的として機能します. このような戦術には、サンドボックスシステムのフィンガープリントが含まれます–CPUタイミングチェックから既知のレジストリエントリに至るまでの技術を使用します. 他のテクニックには、マウスが最近動かされたかどうかをチェックすることを意味する人間の相互作用さえ含まれます, したがって、, コンピューターが人間によって使用されているかどうか、またはコンピューターが自動化されているかどうかを確認します.

ハッカーは受動的な敵のように見えるかもしれません, しかし、マルウェアの配布者は、いくつかのサンドボックスを検出できるプロテクターをすでに作成しています. それにもかかわらず, これを十分に考慮して開発されたいくつかの高度なソリューションがあります. したがって、, 一部のソリューションは、完全なシステムコードエミュレーションを利用するため、悪意のあるソフトウェアがCPUまたはメモリに送信するすべての命令を監視できるサンドボックス環境を作成します。. この種の可視性により、マルウェアの難読化を検出する際のより高度なマルウェアソリューションが可能になります.

高度な難読化技術を利用してマルウェアの脅威から保護し続ける, 強力なマルウェア対策ソリューションの使用は必須です.

ダウンロード

マルウェア除去ツール


スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法

クリスチャン・イリエフ

エディンバラ大学で社会人類学と社会政策を学ぶ2年生. ITに関係するあらゆることに熱心な愛好家, 映画や時計の修理.

その他の投稿

2 コメントコメント
  1. アーロン

    このための無料で利用できるツールを提案できますか ? マルウェアのテストシナリオを作成したい – これらの手法を使用して、検出できない EICAR テスト ファイルを作成しようとしています。.

    返事
    1. ベンシスラフ・クルステフ

      こんにちは, そのようなツールを提案することは、まったく良い考えではありません, しかし、私はハッキングフォーラムで尋ねます (ロシア, 例えば) あなたのために働くかもしれないあらゆるツールのために. このようなフォーラムは、次の darkpro.ws に似ています。.

      また、検出できないものが必要な場合, それはほとんど不可能です, ほとんどのゼロデイは、多くの場合、ほとんどのマルウェア対策およびウイルス対策企業のデータベースに存在するため、検出されないようにしたい場合, 地下フォーラムで支払う必要があります.

      返事

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します