脅威インジケータ
各カテゴリは、悪意のあるソフトウェアで頻繁に検出される領域を表します。
変則
これらのインジケータは、何らかの形で不整合があったり、異常があったりする要素をファイルが持っていることを示します。多くの場合、ファイル内の構造的な要素に不整合があります。
インジケータ | 説明 |
---|---|
16bitSubsystem | このファイルは、16 ビットサブシステムを使用しています。マルウェアはこれを使用して、オペレーティングシステムの安全性が低く、十分に監視されていない部分に存在し、頻繁に特権昇格攻撃を実行します。 |
Anachronism | この PE は、記述された時期を偽っているようです。これは、正規のソフトウェアでは異例なことです。 |
AppendedData | この PE には、ファイルの通常の領域を超えて、追加のコンテンツが付加されています。付加されたデータは悪意のあるコードやデータを埋め込むために頻繁に使用され、保護システムから見落とされることが頻繁にあります。 |
AutoitDbgPrivilege | AutoIT スクリプトがデバッグアクティビティを実行できます。 |
AutoitManyDllCalls | AutoIT スクリプトが多くの外部 DLL 呼び出しを使用しています。AutoIT ランタイムには、多数の一般的な機能が既にあるため、外部 DLL から追加の機能を使用することは、悪意があることの兆候である可能性があります。 |
AutoitMutex | AutoIT スクリプトが同期オブジェクトを作成しています。これは、同じターゲットの複数回の感染を防止するためにマルウェアによって使用されることがよくあります。 |
AutoitProcessCarving | AutoIT スクリプトが、別のプロセスから来ているようなコードを実行するプロセスカービングを実行している可能性があります。これは、検出を妨害するために行われることがよくあります。 |
AutoitProcessInjection | AutoIT スクリプトが、おそらく検出されずに留まったりデータを盗んだりするために、他のプロセスのコンテキストでコードを実行するプロセスインジェクションを実行している可能性があります。 |
AutoitRegWrite | AutoIT スクリプトが Windows レジストリに書き込んでいます。 |
Base64Alphabet | このファイルは、アルファベットの Base64 エンコーディングを使用している証拠を含んでいます。マルウェアは、一般的な検出を回避することを試みたり、Base64 エンコーディングを使用している他のプログラムを攻撃したりしようとして、これを行います。 |
CommandlineArgsImport | ファイルは、コマンドラインから引数を読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、以後の実行に関する情報を収集します。 |
ComplexMultipleFilters | ファイルが、複数のフィルターを持つ複数のストリームを含んでいます。 |
ComplexObfuscatedEncoding | ファイルが、難読化された名前を異常に多く含んでいます。 |
ComplexUnsupportedVersion EmbeddedFiles | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの EmbeddedFiles 機能を使用しています。 |
ComplexUnsupportedVersionFlate | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの FlateDecode 機能を使用しています。 |
ComplexUnsupportedVersionJbig2 | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの JBIG2Decode 機能を使用しています。 |
ComplexUnsupportedVersionJs | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの JavaScript 機能を使用しています。 |
ComplexUnsupportedVersionXFA | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの XFA 機能を使用しています。 |
ComplexUnsupportedVersionXobject | ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの XObject 機能を使用しています。 |
ContainsFlash | ファイルが flash オブジェクトを含んでいます。 |
ContainsPE | ファイルには埋め込み実行可能ファイルが含まれています。 |
ContainsU3D | ファイルが U3D オブジェクトを含んでいます。 |
InvalidCodePageUsed | ファイルが、おそらく検出を回避するために、無効または認識されないロケールを使用しています。 |
InvalidData | ファイルのメタデータが明らかに偽造であるか、破損しています。 |
InvalidStructure | ファイル構造が無効です。サイズ、メタデータ、または内部セクター割り当てテーブルが間違っています。これは、エクスプロイトを示している可能性があります。 |
ManifestMismatch | このファイルは、マニフェスト内の不整合を示しています。マルウェアは、検出を回避するためにこれを行いますが、追跡を深く隠すことはまれです。 |
NontrivialDLLEP | この PE は、非自明なエントリポイントを持つ DLL です。これは DLL 間では一般的ですが、悪意のある DLL がそのエントリポイントを利用してプロセス内に入り込む可能性があります。 |
NullValuesInStrings | ファイル内のいくつかの文字列が、途中に null 文字を含んでいます。 |
PDFParserArraysContainsNullCount | ファイルが、配列内に null 値を異常に多く含んでいます。 |
PDFParserArraysHeterogeneous Count | ファイルが、異常に多くの異種類の要素を含む配列を含んでいます。 |
PDFParserMailtoURICount | ファイルが、異常に多くのメールリンク(mailto:)を含んでいます。 |
PDFParserMinPageCount | ファイルのページオブジェクトの構造が異常です。ノードごとに多数の子ページオブジェクトがあります。 |
PDFParserNamesPoundName MaxLength | ファイルが、長いエンコード文字列を使用してコンテンツを難読化しようとしている可能性があります。 |
PDFParserNamesPoundName MinLength | ファイルが、異常に大きな最小長のエスケープされた名前を含んでいます。 |
PDFParserNamesPoundName TotalLength | ファイルが、コンテンツの多くをエンコード文字列に格納することでコンテンツを難読化しようとしている可能性があります。 |
PDFParserNamesPoundName UpperCount | ファイルが、大文字の 16 進数値でエスケープされた名前を異常に多く含んでいます。 |
PDFParserNamesPoundName ValidCount | ファイルが、異常に多くの有効でエスケープされた名前を含んでいます。 |
PDFParserNamesPoundPerName MaxCount | ファイルが、異常に大きな最大数のエスケープされた文字(1 つの名前あたり)を含んでいます。 |
PDFParserNamesPound UnnecessaryCount | ファイルが、異常に多くの不必要にエスケープされた名前を含んでいます。 |
PDFParserNumbersLeading DigitTallies8 | ファイルが、10 進数表現の 8 で始まる数値を異常に多く含んでいます。 |
PDFParserNumbersPlusCount | ファイルが、明示的なプラス記号付きの数値を異常に多く含んでいます。 |
PDFParserNumbersRealMax RawLength | ファイルが、異常に大きな最大長の実数を含んでいます。 |
PDFParserPageCounts | ファイルが、異常に多くの子ページオブジェクトを含んでいます。 |
PDFParserPageObjectCount | ファイルが、異常に多くのページオブジェクトを含んでいます。 |
PDFParserSizeEOF | ファイルが、異常に長い「ファイルの最後」シーケンスを含んでいます。 |
PDFParserStringsHexLowerCount | ファイルが、小文字の 16 進数桁でエスケープされた文字列を異常に多く含んでいます。 |
PDFParserStringsLiteralString MaxLength | ファイルが、異常に大きな最大長のリテラル文字列を含んでいます。 |
PDFParserStringsOctalZero PaddedCount | ファイルが、文字列内で 8 進数エスケープされた文字を異常に多く含んでおり、文字列が不必要にゼロパディングされています。 |
PDFParserTrailerSpread | ファイルが、トレーラーオブジェクト間に異常に大きいスプレッドを含んでいます。 |
PDFParserWhitespaceComment MaxLength | ファイルが、異常に大きな最大長のコメントを含んでいます。 |
PDFParserWhitespaceComment MinLength | ファイルが、リーダーソフトウェアによって使用されていない、異常に短いコメントを含んでいます。 |
PDFParserWhitespaceComment TotalLength | ファイルが、異常に大量のコメントアウトされたデータを含んでいます。 |
PDFParserWhitespaceEOL0ACount | ファイルが、異常に多くの短い行末文字を含んでいます。 |
PDFParserWhitespaceWhitespace 00Count | ファイルが、空白として使用される 0 バイトを異常に多く含んでいます。 |
PDFParserWhitespaceWhitespace 09Count | ファイルが、空白として使用される 09 バイトを異常に多く含んでいます。 |
PDFParserWhitespaceWhitespace LongestRun | ファイルが、異常に長い空白領域を含んでいます。 |
PDFParserWhitespaceWhitespace TotalLength | ファイルが、異常に大量の空白を含んでいます。 |
PDFParseru3DObjectsNames AllNames | ファイルが、異常に多くの U3D オブジェクトを含んでいます。 |
PossibleBAT | このファイルは、標準的な Windows バッチファイルを持っている証拠を含んでいます。マルウェアは、一般的なスキャン技術を回避し、永続性を可能にするためにこれを行います。 |
PossibleDinkumware | このファイルは、Dinkumware の一部のコンポーネントを含む証拠を示しています。Dinkumware は、さまざまなマルウェアコンポーネントで頻繁に使用されています。 |
PropertyImpropriety | ファイルが、疑わしい OOXML プロパティを含んでいます。 |
RaiseExceptionImports | このファイルは、プログラム内で例外を発生させるために使用する関数をインポートします。マルウェアは、標準的な動的コード分析をたどるのを困難にする戦術を実装するために、これを行います。 |
ReservedFieldsViolation | ファイルが、予約されたフィールドの使用に関する指定に違反しています。 |
ResourceAnomaly | このファイルは、リソースセクションに異常を含んでいます。マルウェアは、DLL のリソースセクションに不正なビットや他の変則的なビットを含んでいることが頻繁にあります。 |
RWXSection | この PE は、修正可能なコードを含んでいる可能性があります。これは、最善の場合でも非正統的、最悪の場合にはウイルス感染の症状を示すものです。この特徴は、ファイルが標準以外のコンパイラを使用してビルドされたか、最初にビルドされた後に変更されたことを意味することがあります。 |
SectorMalfeasance | ファイルが、OLE セクター割り当ての構造的な異常を含んでいます。 |
StringInvalid | 文字列テーブル内の文字列への参照のいずれかが、負のオフセットを指していました。 |
StringTableNotTerminated | 文字列テーブルが null バイトで終了しませんでした。これにより、実行時に、終了しない文字列による障害が発生する可能性があります。 |
StringTruncated | 文字列テーブル内の文字列への参照のいずれかが、ファイルの最後より後の位置を指していました。 |
SuspiciousPDataSection | この PE は「PDATA」領域に何かを隠していますが、何であるかが不明です。PE ファイルの pdata 領域は一般的に、ランタイム構造の処理に使用されますが、この特定のファイルには他のものが含まれています。 |
SuspiciousRelocSection | この PE は「relocations」領域に何かを隠していますが、何であるかが不明です。PE ファイルの relocations 領域は一般的に、特定のシンボルの再配置に使用されますが、この特定のファイルには他のものが含まれています。 |
SuspiciousDirectoryNames | ファイルが、悪に関連付けられている OLE ディレクトリ名です。 |
SuspiciousDirectoryStructure | ファイルに、OLE ディレクトリ構造の異常があります。 |
SuspiciousEmbedding | ファイルが、OLE の疑わしい埋め込みを使用しています。 |
SuspiciousVBA | ファイルが、疑わしい VBA コードを含んでいます。 |
SuspiciousVBALib | ファイルが、疑わしい VBA ライブラリ使用を示しています。 |
SuspiciousVBANames | ファイルが、VBA 構造に関連付けられた疑わしい名前を含んでいます。 |
SuspiciousVBAVersion | ファイルが、疑わしい VBA バージョンを含んでいます。 |
SWFOddity | ファイルが、埋め込まれた SWF の特定の疑わしい使用状況を含んでいます。 |
TooMalformedToProcess | ファイルの形式が非常に不正なため、完全には解析できませんでした。 |
VersionAnomaly | このファイルには、バージョン情報の表示方法に関する問題があります。マルウェアには、検出を回避するためにこれがあります。 |
コレクション
これらのインジケータは、データ収集の機能や証拠を示す要素をファイルが持っていることを示します。これには、システム構成の列挙や特定の機密情報の収集が含まれる可能性があります。
インジケータ | 説明 |
---|---|
BrowserInfoTheft | このファイルは、ブラウザーキャッシュに保存されているパスワードを読み取る意図の証拠を含んでいます。マルウェアは、これを使用して窃盗のためにパスワードを収集します。 |
CredentialProvider | このファイルは、資格情報プロバイダーとのやり取り、または資格情報プロバイダーのように見せようとする証拠を含んでいます。マルウェアがこれを行うのは、資格情報プロバイダーはユーザー名やパスワードといった多種類の機密データにアクセスできるため、資格情報プロバイダーとして機能することで認証の整合性を妨害できる可能性があるからです。 |
CurrentUserInfoImports | このファイルは、現在ログインしているユーザーに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して特権の昇格経路を特定し、攻撃をより適切に調整します。 |
DebugStringImports | このファイルは、デバッグ文字列の出力に使用される関数をインポートします。通常、これは、本番ソフトウェアでは無効になっていますが、テスト中のマルウェアではオンのままになっています。 |
DiskInfoImports | このファイルは、システム上のボリュームの詳細を収集するために使用できる関数をインポートします。マルウェアは、これを一覧表示と組み合わせて使用して、将来の攻撃に備えてボリュームに関する事実を特定します。 |
EnumerateFileImports | このファイルは、ファイルの一覧表示に使用される関数をインポートします。マルウェアは、これを使用して機密データを探したり、さらなる攻撃ポイントを見つけたりします。 |
EnumerateModuleImports | このファイルは、実行中のプロセスが使用するすべての DLL を一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、プロセス内にロードする特定のライブラリを見つけてターゲットにし、注入しようとするプロセスをマップします。 |
EnumerateNetwork | このファイルは、接続されたネットワークとネットワークアダプタを数え上げる機能の証拠を示しています。マルウェアは、ターゲットシステムが他のシステムに対してある位置を特定し、考えられる横方向のパスを探すためにこれを行います。 |
EnumerateProcessImports | このファイルは、システム上で実行中のすべてのプロセスを一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、注入するプロセスまたは削除しようとするプロセスを特定します。 |
EnumerateVolumeImports | このファイルは、システム上のボリュームを一覧表示するために使用できる関数をインポートします。マルウェアは、これを使用して、データを検索したり感染を広げたりするのに必要な可能性がある領域をすべて見つけます。 |
GinaImports | このファイルは、Gina へのアクセスに使用される関数をインポートします。マルウェアは、安全な Ctrl-Alt-Del パスワード入力システムまたはその他のネットワークログイン機能に違反しようとして、これを行います。 |
HostnameSearchImports | このファイルは、ネットワーク上のホスト名とマシン自体のホスト名に関する情報を収集するために使用できる関数をインポートします。マルウェアは、この機能を使用して、さらなる攻撃の標的の精度を上げたり、スキャンして新しい標的を探したりします。 |
KeystrokeLogImports | このファイルは、キーボードからキーストロークをキャプチャして記録できる関数をインポートします。マルウェアは、これを使用してキーストロークをキャプチャして保存し、パスワードなどの機密情報を見つけます。 |
OSInfoImports | このファイルは、現在のオペレーティングシステムに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、さらなる攻撃をより適切に調整する方法を特定し、情報をコントローラーに報告します。 |
PossibleKeylogger | ファイルには、キーロガータイプのアクティビティの証拠が含まれています。マルウェアは、キーロガーを使用してキーボードから機密情報を収集します。 |
PossiblePasswords | このファイルは、一般的なパスワードを含む証拠があるか、一般的なパスワードの総当たり攻撃を有効にする構造を持っています。マルウェアは、これを使用して、パスワードを介して他のリソースにアクセスすることでネットワークへの侵入を試みます。 |
ProcessorInfoWMI | このファイルは、プロセッサの詳細を特定するために使用できる関数をインポートします。マルウェアは、これを使用して攻撃を調整し、このデータを共通のコマンド&コントロールインフラストラクチャに流出させます。 |
RDPUsage | このファイルは、リモートデスクトッププロトコル(RDP)とのやり取りの証拠を示します。マルウェアは、これを使用して横展開し、直接的なコマンド&コントロール機能を提供することが頻繁にあります。 |
SpyString | このファイルは、アクセシビリティ API の使用を介してクリップボードまたはユーザーアクションを監視している可能性があります。 |
SystemDirImports | このファイルは、システムディレクトリの特定に使用される関数をインポートします。マルウェアは、これを行って、インストールされているシステムバイナリの多くがある場所を見つけます。システムディレクトリは、システムバイナリの中に隠れていることが多いためです。 |
UserEnvInfoImports | このファイルは、現在ログインしているユーザーの環境に関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、ログインしたユーザーの詳細を特定し、環境変数から収集できる他のインテリジェンスを探します。 |
データ損失
これらのインジケータは、データの窃盗の機能や証拠を示す要素をファイルが持っていることを示します。これには、送信ネットワーク接続、ブラウザーとして機能している証拠、および他のネットワーク通信が含まれる可能性があります。
インジケータ | 説明 |
---|---|
AbnormalNetworkActivity | このファイルは、非標準的なネットワークを実装しています。マルウェアはこれを行って、より一般的なネットワークアプローチの検出を回避します。 |
BrowserPluginString | ブラウザプラグインを列挙またはインストールする機能がファイルにあります。 |
ContainsBrowserString | このファイルには、カスタムUserAgent文字列を作成しようとしている証拠が含まれています。マルウェアは、一般的な UserAgent 文字列を使用して、送信される要求での検出を回避することが頻繁にあります。 |
DownloadFileImports | このファイルは、ファイルをシステムにダウンロードするために使用できる関数をインポートします。マルウェアは、これをさらに攻撃を企てる手段としても、送信 URL を介してデータを流出させるための手段としても使用します。 |
FirewallModifyImports | このファイルは、ローカル Windows ファイアウォールの変更に使用される関数をインポートします。マルウェアは、これを使用して穴を開け、検出を回避します。 |
HTTPCustomHeaders | このファイルは、他のカスタム HTTP ヘッダーの作成の証拠を含んでいます。マルウェアは、コマンド&コントロールインフラストラクチャとのやり取りを促進し、検出を回避するためにこれを行います。 |
IRCCommands | このファイルは、IRC サーバーとのやり取りの証拠を含んでいます。マルウェアは一般的に、IRC を使用してコマンド&コントロールインフラストラクチャを促進します。 |
MemoryExfiltrationImports | このファイルは、実行中のプロセスからメモリを読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、自身を注入する適切な場所を決定したり、実行中のプロセスのメモリからパスワード、クレジットカード、その他の機密情報などの有用な情報を抽出したりします。 |
NetworkOutboundImports | このファイルは、データをローカルネットワークまたは一般のインターネットに送信するために使用できる機能をインポートします。マルウェアは、データの窃盗またはコマンド&コントロールの手段としてこれを使用します。 |
PipeUsage | このファイルは、名前付きパイプの操作を可能にする関数をインポートします。マルウェアは、通信およびデータ窃盗の手段としてこれを使用します。 |
RPCUsage | このファイルは、リモートプロシージャコール(RPC)インフラストラクチャとの通信を可能にする関数をインポートします。マルウェアは、これを使用して広がったり、データをリモートシステムに送信して流出させたりします。 |
詐欺
これらのインジケータは、ファイルに欺瞞を試みる機能や証拠があることを示す要素をファイルが持っていることを示します。デセプションは、隠されたセクション、検出を回避するためのコード、メタデータやその他のセクションにおける不適切なラベル付けなどの形をとることがあります。
インジケータ | 説明 |
---|---|
AddedHeader | ファイルが、悪意のある隠れたペイロードの可能性がある、難読化された追加の PE ヘッダーを含んでいます。 |
AddedKernel32 | ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。 |
AddedMscoree | ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。 |
AddedMsvbvm | ファイルが、msvbvm( Microsoft Visual Basic 6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。 |
AntiVM | このファイルは、プロセスが仮想マシンで実行されているかどうかを特定するために使用できる機能を示しています。マルウェアは、一般的になりつつある仮想化されたサンドボックスでの実行を回避するためにこれを行います。 |
AutoitDownloadExecute | AutoIT スクリプトがファイルをダウンロードし、実行できます。これは、悪意のある追加ペイロードを配信するために行われることがよくあります。 |
AutoitObfuscationStringConcat | AutoIT スクリプトが、文字列連結で難読化されている可能性があります。これは、(全体的に)疑わしいコマンドの検出を回避するために行われることがよくあります。 |
AutoitShellcodeCalling | AutoIT スクリプトが CallWindowProc() Windows API 関数を使用していますが、これはシェルコードの注入を示している可能性があります。 |
AutoitUseResources | AutoIT スクリプトが、スクリプトとともに保存されているリソースデータを使用しています。マルウェアは多くの場合、重要な部分をリソースデータとして保存し、実行時に展開します。したがって、これは疑わしいように見えます。 |
CabinentUsage | このファイルは、CAB ファイルを含んでいる証拠を示しています。マルウェアは、多くの検出システムが認識できないような方法で機密性の高いコンポーネントをパッケージ化するためにこれを行います。 |
ClearKernel32 | ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ClearMscoree | ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ClearMsvbvm | ファイルが、msvbvm.dll( Microsoft Visual Basic 6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ComplexInvalidVersion | ファイルが、誤った PDF バージョンを宣言しています。 |
ComplexJsStenographySuspected | ファイルが、リテラル文字列に隠された JavaScript コードを含んでいる可能性があります。 |
ContainsEmbeddedDocument | このファイルには、オブジェクト内に埋め込まれたドキュメントが含まれています。マルウェアはこれを使用して、攻撃を複数のソースに分散したり、実際の形を隠したりできます。 |
CryptoKeys | このファイルは、埋め込まれた暗号化キーを持っている証拠を含んでいます。マルウェアは、検出を回避するために、そしておそらくはリモートサービス認証としてこれを行います。 |
DebugCheckImports | このファイルは、デバッガのように動作できるようにする関数をインポートします。マルウェアは、この機能を使用して他のプロセスから読み書きします。 |
EmbeddedPE | この PE 内には追加の PE があります。これは通常、ソフトウェアインストールプログラムでのみ見られます。マルウェアは、まず PE ファイルを埋め込んでから、ディスクにドロップして PE を実行することが頻繁にあります。この手法は多くの場合、基礎になっているスキャン技術が理解できない形式でバイナリをパッケージ化して保護スキャナを回避するために使用されます。 |
EncodedDosStub1 | PE が、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。 |
EncodedDosStub2 | PE が、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。 |
EncodedPE | この PE 内には、追加の PE が隠されています。これは非常に疑わしい行動です。EmbeddedPE インジケータと似ていますが、エンコーディング方式を使用して、オブジェクト内のバイナリをさらに隠そうとしています。 |
ExecuteDLL | この PE は、一般的なメソッドを使用して DLL を実行する機能の証拠を含んでいます。マルウェアは、一般的な検出方法を回避するための手段としてこれを行います。 |
FakeMicrosoft | この PE は、 Microsoft によって記述されたと主張していますが、Microsoft PE のようには見えません。マルウェアは一般的に、Microsoft PE になりすまそうとします。目立たないように見えるためです。 |
HiddenMachO | ファイルの内部に別の MachO 実行可能ファイルがあります。これは、適切に宣言されていません。これは、ペイロードが容易に検出されないように隠す試みである可能性があります。 |
HTTPCustomUserAgent | このファイルは、ブラウザー UserAgent の操作の証拠を含んでいます。マルウェアは、コマンド&コントロールとのやり取りを促進し、検出を回避するためにこれを行います。 |
InjectProcessImports | PE が、他のプロセスにコードを注入できます。この機能は多くの場合、プロセスが何らかの形で欺瞞を試みているか、敵意を持っていることを意味します。 |
InvisibleEXE | この PE は、見えない状態で実行されるようですが、バックグラウンドサービスではありません。隠れたままになるように設計されている可能性があります。 |
JSTokensSuspicious | ドキュメントが、異常に疑わしい JavaScript を含んでいます。 |
MSCertStore | このファイルは、コア Windows 証明書ストアとのやり取りの証拠を示しています。マルウェアは、資格情報を収集し、不正な鍵をストリームに挿入して、中間者攻撃などのことを促進するためにこれを行います。 |
MSCryptoImports | ファイルが、コア Windows 暗号化ライブラリを使用する関数をインポートします。マルウェアは、独自の暗号化を持ち歩かずに済むように、これを使用して、ローカルにインストールされた暗号化を活用します。 |
PDFParserDotDotSlash1URICount | ファイルが、「../」など相対パスを使用してパストラバーサルを試みる可能性があります。 |
PDFParserJavaScriptMagicseval~28 | ファイルが、難読化された JavaScript を含んでいる可能性があるか、eval() で動的にロードされた JavaScript を実行できます。 |
PDFParserJavaScriptMagic sunescape~28 | ファイルが、難読化された JavaScript を含んでいる可能性があります。 |
PDFParserjsObjectsLength | ファイルが、異常に多くの個別 JavaScript スクリプトを含んでいます。 |
PDFParserJSStreamCount | ファイルが、異常に多くの JavaScript 関連のストリームを含んでいます。 |
PDFParserJSTokenCounts0 cumulativesum | ファイルが、異常に多くの JavaScript トークンを含んでいます。 |
PDFParserJSTokenCounts1 cumulativesum | ファイルが、異常に多くの JavaScript トークンを含んでいます。 |
PDFParserNamesAllNames Suspicious | ファイルが、異常に多くの疑わしい名前を含んでいます。 |
PDFParserNamesObfuscatedNames Suspicious | ファイルが、難読化された名前を異常に多く含んでいます。 |
PDFParserPEDetections | ファイルが埋め込み PE ファイルを含んでいます。 |
PDFParserSwfObjectsxObservationsx SWFObjectsversion | ファイルが、異常なバージョン番号を持つ SWF オブジェクトを含んでいます。 |
PDFParserSwfObjectsxObservation sxSWFObjectsxZLibcmfSWFObjectsx ZLibcmf | ファイルが、異常な圧縮パラメーターを持つ SWF オブジェクトを含んでいます。 |
PDFParserswfObjectsxObservations xSWFObjectsxZLibflg | ファイルが、異常な圧縮フラグパラメーターを持つ SWF オブジェクトを含んでいます。 |
PE_ClearDosStub1 | ファイルが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。 |
PE_ClearDosStub2 | ファイルが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。 |
PE_ClearHeader | ファイルが、ファイル構造に属していない PE ファイルヘッダーデータを含んでいます。 |
PEinAppendedSpace | ファイルが、ファイル構造に属していない PE ファイルを含んでいます。 |
PEinFreeSpace | ファイルが、ファイル構造に属していない PE ファイルを含んでいます。 |
ProtectionExamination | このファイルは、一般的な保護システムを探しているようです。マルウェアは、システムにインストールされている保護システムに合わせた反保護対策を開始するためにこれを行います。 |
SegmentSuspiciousName | セグメントに名前として無効な文字列があるか、標準的ではない異常な名前があります。これは、コンパイル後の改ざんか、packer や難読化ツールの使用を示している可能性があります。 |
SegmentSuspiciousSize | セグメントサイズが、内部のコンテンツ(セクション)の合計サイズと大きく異なります。これは、参照されていない領域の使用、または悪意のあるコードを実行時に展開するための領域の予約を示している可能性があります。 |
SelfExtraction | このファイルは自己解凍型アーカイブのようです。マルウェアは、この戦術を使用して真の意図を難読化することが頻繁にあります。 |
ServiceDLL | このファイルはサービス DLL のようです。サービス DLL は svchost.exe プロセスでロードされるため、マルウェアの一般的な永続手法です。 |
StringJsSplitting | ファイルが、疑わしい JS トークンを含んでいます。 |
SWFinAppendedSpace | ファイルが、ドキュメント構造に属していない Shockwave flash オブジェクトを含んでいます。 |
TempFileImports | このファイルは、一時ファイルにアクセスし、一時ファイルを操作するために使用される関数をインポートします。一時ファイルは検出を回避できる傾向があるため、マルウェアはこれを行います。 |
UsesCompression | このファイルには、圧縮されているように見えるコード部分があります。マルウェアは、この手法を使用して検出を回避します。 |
VirtualProtectImports | このファイルは、実行中のプロセスからメモリを変更するために使用される関数をインポートします。マルウェアはこれを使用して、実行中のプロセスに自身を注入します。 |
XoredHeader | ファイルが、悪意のある隠れたペイロードの可能性がある、xor で難読化された PE ヘッダーを含んでいます。 |
XoredKernel32 | ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
XoredMscoree | ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
XoredMsvbvm | ファイルが、msvbvm.dll( Microsoft Visual Basic 6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
破壊
これらのインジケータは、破壊の機能や証拠を示す要素をファイルが持っていることを示します。破壊的な機能には、ファイルやディレクトリなど、システムリソースを削除する機能が含まれます。
インジケータ | 説明 |
---|---|
action_writeByte | ドキュメント内の VBA スクリプトが、ファイルにバイトを書き込んでいる可能性があります。これは、正規のドキュメントでは異常な動作です。 |
action_hexToBin | ファイル内の VBA スクリプトが、16 進数から 2 進数への変換を使用していると思われます。これは、悪意のある隠れたペイロードのデコードを示している可能性があります。 |
appended_URI | ファイルが、ファイル構造に属していないリンクを含んでいます。 |
appended_exploit | ファイルが、疑わしいデータをファイル構造外に含んでいます。これは、エクスプロイトを示している可能性があります。 |
appended_macro | ファイルが、ファイル構造に属していないマクロスクリプトを含んでいます。 |
appended_90_nopsled | ファイルが、ファイル構造に属していない nop スレッドを含んでいます。これはほぼ確実に、エクスプロイテーションを促進する目的で存在します。 |
AutorunsPersistence | ファイルが、永続性の一般的な手法(起動スクリプトなど)とのやり取りを試みます。マルウェアは一般的に、永続性を実現するためにこの戦術を使用します。 |
DestructionString | シェルコマンドを介してプロセスを強制終了したり、マシンをシャットダウンしたりする機能がファイルにあります。 |
FileDirDeleteImports | この PE は、ファイルまたはディレクトリを削除するために使用できる関数をインポートします。マルウェアは、これを使用してシステムを破壊し、痕跡を隠します。 |
JsHeapSpray | ファイルが、ヒープスプレーコードを含んでいる可能性があります。 |
PossibleLocker | このファイルは、一般的なツールをポリシーごとにロックアウトしようとしている証拠を示しています。マルウェアは、永続性を維持し、検出とクリーンアップをより困難にするためにこれを行います。 |
RegistryManipulation | このファイルは、 Windows レジストリを操作するために使用できる関数をインポートします。マルウェアは、永続性を実現し、検出を回避するなど、多くの理由でこれを行います。 |
SeBackupPrivilege | この PE は、アクセスが許可されていないファイルの読み取りを試みる可能性があります。SeBackup 権限では、アクセス制御に関わりなくファイルにアクセスできます。この権限は、バックアップを処理するプログラムによって頻繁に使用され、多くの場合は管理ユーザーに限定されています。ただし、他の方法では難しい特定の要素へのアクセスを得るために悪意を持って利用される可能性もあります。 |
SeDebugPrivilege | この PE は、システムプロセスの改ざんを試みる可能性があります。SeDebug 権限は、自分のプロセス以外のプロセスにアクセスするために使用され、多くの場合は管理ユーザーに限定されています。この権限は、他のプロセスへの読み書きと組み合わされることがよくあります。 |
SeRestorePrivilege | この PE は、アクセスが許可されていないファイルの変更または削除を試みる可能性があります。SeRestore 特権では、アクセス制御を考慮せずに書き込むことができます。 |
ServiceControlImports | このファイルは、現在のシステムで Windows サービスを制御できる関数をインポートします。マルウェアは、これを使用して、自身をサービスとしてインストールすることによりバックグラウンドで起動したり、保護機能が存在する可能性のある他のサービスを無効にしたりします。 |
SkylinedHeapSpray | ファイルが、変更されていないバージョンの skylined ヒープスプレーコードを含んでいます。 |
SpawnProcessImports | この PE は、別のプロセスを生成するために使用できる関数をインポートします。マルウェアはこれを使用して、感染の次の段階(通常はインターネットからダウンロード)を開始します。 |
StringJsExploit | ファイルが、エクスプロイテーションを行えると思われる JavaScript コードを含んでいます。 |
StringJsObfuscation | ファイルが JavaScript 難読化トークンを含んでいます。 |
TerminateProcessImports | このファイルは、実行中のプロセスを停止するために使用できる関数をインポートします。マルウェアはこれを使用して、保護システムを削除したり、実行中のシステムに損害を与えたりします。 |
trigger_AutoClose | ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_Auto_Close | ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_AutoExec | ファイル内の VBA スクリプトが、自動的に実行されようとしている可能性があります。 |
trigger_AutoExit | ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_AutoNew | ファイル内の VBA スクリプトが、新しいドキュメントが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_AutoOpen | ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_Auto_Open | ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_DocumentBeforeClose | ファイル内の VBA スクリプトが、ファイルが閉じる直前に自動的に実行されようとしている可能性があります。 |
trigger_DocumentChange | ファイル内の VBA スクリプトが、ファイルが変更されるときに自動的に実行されようとしている可能性があります。 |
trigger_Document_Close | ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_Document_New | ファイル内の VBA スクリプトが、新しいファイルが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_DocumentOpen | ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_Document_Open | ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_NewDocument | ファイル内の VBA スクリプトが、新しいファイルが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_Workbook_Close | ファイル内の VBA スクリプトが、 Microsoft
Excel ブックを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_Workbook_Open | ファイル内の VBA スクリプトが、 Microsoft
Excel ブックを開くときに自動的に実行されようとしている可能性があります。 |
UserManagementImports | このファイルは、ローカルシステムのユーザーを変更するために使用できる関数をインポートします。鍵ユーザーの詳細を追加、削除、または変更できます。マルウェアはこの機能を使用して、永続性を実現したり、ローカルシステムに害を与えたりする可能性があります。 |
VirtualAllocImports | このファイルは、実行中のプロセスでメモリを作成するために使用される関数をインポートします。マルウェアは、実行中のプロセスに自身を注入するためにこれを行います。 |
シェルコード
これらのインジケータは、ソフトウェア脆弱性のエクスプロイトで小さなコードがペイロードとして使用されていることを示します。通常は、侵害されたマシンを攻撃者が制御する元となる可能性があるコマンドシェルを起動するため、シェルコードと呼ばれていますが、同様のタスクを実行するコードはすべてシェルコードと呼ばれる可能性があります。
インジケータ | 説明 |
---|---|
ApiHashing | ファイルが、メモリにロードされているライブラリ API を密かに見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
BlackholeV2 | ファイルが、Blackhole exploit kit からのものであるように見えます。 |
ComplexGotoEmbed | ファイルが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。 |
ComplexSuspiciousHeaderLocation | PDF ヘッダーがゼロ以外のオフセットに配置されています。これは、このファイルが PDF ドキュメントとして認識されないようにしようとする試みを示している可能性があります。 |
EmbeddedTiff | ファイルが、エクスプロイテーションを促進する nop スレッドを含む、巧みに作成された TIFF 画像を含んでいる可能性があります。 |
EmbeddedXDP | ファイルが、XML データパッケージ(XDP)として別の PDF を含んでいる可能性があります。 |
FindKernel32Base1 | ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FindKernel32Base2 | ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FindKernel32Base3 | ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FunctionPrologSig | ファイルが、典型的な関数プロローグ(シェルコードを含んでいる可能性が高い)であるバイトシーケンスを含んでいます。 |
GetEIP1 | ファイルが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。 |
GetEIP4 | ファイルが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。 |
IndirectFnCall1 | ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
IndirectFnCall2 | ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
IndirectFnCall3 | ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
SehSig | ファイルが、構造化例外処理(SEH)に典型的なバイトシーケンスを含んでおり、シェルコードを含んでいる可能性が高いです。 |
StringLaunchActionBrowser | ファイルが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。 |
StringLaunchActionShell | ファイルが、シェルアクションを実行できる可能性があります。 |
StringSingExploit | ファイルが、エクスプロイトを含んでいる可能性があります。 |
その他のインジケータ
このセクションでは、他のカテゴリに適合しないインジケータについて説明します。
インジケータ | 説明 |
---|---|
AutoitFileOperations | AutoIT スクリプトが、ファイルに対して複数のアクションを実行できます。これは、情報収集、永続姓、または破壊に使用される場合があります。 |
AutorunString | 自動実行メカニズムを使用して永続性を実現する機能がファイルにあります。 |
CodepageLookupImports | このファイルは、実行中のシステムのコードページ(場所)を検索するために使用される関数をインポートします。マルウェアはこれを使用して、特定のグループをより適切にターゲット設定するために、システムが実行されている国/地域を識別します。 |
MutexImports | このファイルは、ミューテックスオブジェクトを作成および操作する関数をインポートします。マルウェアは頻繁にミューテックスを使用して、システムへの複数回の感染を回避します。 |
OpenSSL 静的 | このファイルは、検出されないようにコンパイルされた OpenSSL のバージョンを含んでいます。マルウェアは、強力な証拠を残さずに暗号化保存機能を含めるためにこれを行います。 |
PListString | オペレーティングシステムによって使用されるプロパティリストとやり取りする機能がファイルにあります。これは、永続性を実現したり、さまざまなプロセスを妨害したりするために使用される場合があります。 |
PrivEscalationCryptBase | このファイルは、CryptBaseを使用して権限の昇格を使用しようとした証拠を示しています。マルウェアはこれを使用して、影響を受けるシステムでの権限を強くします。 |
ShellCommandString | 偵察、特権の昇格、またはデータ破壊に機密性の高いシェルコマンドを使用する機能がファイルにあります。 |
SystemCallSuspicious | システムおよび他のプロセスを監視および/または制御し、デバッグのようなアクションを実行する機能がファイルにあります。 |