ナビゲーションをスキップする

脅威インジケータ

各カテゴリは、悪意のあるソフトウェアで頻繁に検出される領域を表します。

変則

これらのインジケータは、何らかの形で不整合があったり、異常があったりする要素をファイルが持っていることを示します。多くの場合、ファイル内の構造的な要素に不整合があります。
インジケータ
説明
16bitSubsystem
このファイルは、16 ビットサブシステムを使用しています。マルウェアはこれを使用して、オペレーティングシステムの安全性が低く、十分に監視されていない部分に存在し、頻繁に特権昇格攻撃を実行します。
Anachronism
この PE は、記述された時期を偽っているようです。これは、正規のソフトウェアでは異例なことです。
AppendedData
この PE には、ファイルの通常の領域を超えて、追加のコンテンツが付加されています。付加されたデータは悪意のあるコードやデータを埋め込むために頻繁に使用され、保護システムから見落とされることが頻繁にあります。
AutoitDbgPrivilege
AutoIT スクリプトがデバッグアクティビティを実行できます。
AutoitManyDllCalls
AutoIT スクリプトが多くの外部 DLL 呼び出しを使用しています。AutoIT ランタイムには、多数の一般的な機能が既にあるため、外部 DLL から追加の機能を使用することは、悪意があることの兆候である可能性があります。
AutoitMutex
AutoIT スクリプトが同期オブジェクトを作成しています。これは、同じターゲットの複数回の感染を防止するためにマルウェアによって使用されることがよくあります。
AutoitProcessCarving
AutoIT スクリプトが、別のプロセスから来ているようなコードを実行するプロセスカービングを実行している可能性があります。これは、検出を妨害するために行われることがよくあります。
AutoitProcessInjection
AutoIT スクリプトが、おそらく検出されずに留まったりデータを盗んだりするために、他のプロセスのコンテキストでコードを実行するプロセスインジェクションを実行している可能性があります。
AutoitRegWrite
AutoIT スクリプトが
Windows
レジストリに書き込んでいます。
Base64Alphabet
このファイルは、アルファベットの Base64 エンコーディングを使用している証拠を含んでいます。マルウェアは、一般的な検出を回避することを試みたり、Base64 エンコーディングを使用している他のプログラムを攻撃したりしようとして、これを行います。
CommandlineArgsImport
ファイルは、コマンドラインから引数を読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、以後の実行に関する情報を収集します。
ComplexMultipleFilters
ファイルが、複数のフィルターを持つ複数のストリームを含んでいます。
ComplexObfuscatedEncoding
ファイルが、難読化された名前を異常に多く含んでいます。
ComplexUnsupportedVersion
EmbeddedFiles
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの EmbeddedFiles 機能を使用しています。
ComplexUnsupportedVersionFlate
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの FlateDecode 機能を使用しています。
ComplexUnsupportedVersionJbig2
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの JBIG2Decode 機能を使用しています。
ComplexUnsupportedVersionJs
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの
JavaScript
機能を使用しています。
ComplexUnsupportedVersionXFA
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの XFA 機能を使用しています。
ComplexUnsupportedVersionXobject
ファイルが、ファイルで宣言されている PDF 規格より新しいバージョンの XObject 機能を使用しています。
ContainsFlash
ファイルが flash オブジェクトを含んでいます。
ContainsPE
ファイルには埋め込み実行可能ファイルが含まれています。
ContainsU3D
ファイルが U3D オブジェクトを含んでいます。
InvalidCodePageUsed
ファイルが、おそらく検出を回避するために、無効または認識されないロケールを使用しています。
InvalidData
ファイルのメタデータが明らかに偽造であるか、破損しています。
InvalidStructure
ファイル構造が無効です。サイズ、メタデータ、または内部セクター割り当てテーブルが間違っています。これは、エクスプロイトを示している可能性があります。
ManifestMismatch
このファイルは、マニフェスト内の不整合を示しています。マルウェアは、検出を回避するためにこれを行いますが、追跡を深く隠すことはまれです。
NontrivialDLLEP
この PE は、非自明なエントリポイントを持つ DLL です。これは DLL 間では一般的ですが、悪意のある DLL がそのエントリポイントを利用してプロセス内に入り込む可能性があります。
NullValuesInStrings
ファイル内のいくつかの文字列が、途中に null 文字を含んでいます。
PDFParserArraysContainsNullCount
ファイルが、配列内に null 値を異常に多く含んでいます。
PDFParserArraysHeterogeneous
Count
ファイルが、異常に多くの異種類の要素を含む配列を含んでいます。
PDFParserMailtoURICount
ファイルが、異常に多くのメールリンク(mailto:)を含んでいます。
PDFParserMinPageCount
ファイルのページオブジェクトの構造が異常です。ノードごとに多数の子ページオブジェクトがあります。
PDFParserNamesPoundName
MaxLength
ファイルが、長いエンコード文字列を使用してコンテンツを難読化しようとしている可能性があります。
PDFParserNamesPoundName
MinLength
ファイルが、異常に大きな最小長のエスケープされた名前を含んでいます。
PDFParserNamesPoundName
TotalLength
ファイルが、コンテンツの多くをエンコード文字列に格納することでコンテンツを難読化しようとしている可能性があります。
PDFParserNamesPoundName
UpperCount
ファイルが、大文字の 16 進数値でエスケープされた名前を異常に多く含んでいます。
PDFParserNamesPoundName
ValidCount
ファイルが、異常に多くの有効でエスケープされた名前を含んでいます。
PDFParserNamesPoundPerName
MaxCount
ファイルが、異常に大きな最大数のエスケープされた文字(1 つの名前あたり)を含んでいます。
PDFParserNamesPound
UnnecessaryCount
ファイルが、異常に多くの不必要にエスケープされた名前を含んでいます。
PDFParserNumbersLeading
DigitTallies8
ファイルが、10 進数表現の 8 で始まる数値を異常に多く含んでいます。
PDFParserNumbersPlusCount
ファイルが、明示的なプラス記号付きの数値を異常に多く含んでいます。
PDFParserNumbersRealMax
RawLength
ファイルが、異常に大きな最大長の実数を含んでいます。
PDFParserPageCounts
ファイルが、異常に多くの子ページオブジェクトを含んでいます。
PDFParserPageObjectCount
ファイルが、異常に多くのページオブジェクトを含んでいます。
PDFParserSizeEOF
ファイルが、異常に長い「ファイルの最後」シーケンスを含んでいます。
PDFParserStringsHexLowerCount
ファイルが、小文字の 16 進数桁でエスケープされた文字列を異常に多く含んでいます。
PDFParserStringsLiteralString
MaxLength
ファイルが、異常に大きな最大長のリテラル文字列を含んでいます。
PDFParserStringsOctalZero
PaddedCount
ファイルが、文字列内で 8 進数エスケープされた文字を異常に多く含んでおり、文字列が不必要にゼロパディングされています。
PDFParserTrailerSpread
ファイルが、トレーラーオブジェクト間に異常に大きいスプレッドを含んでいます。
PDFParserWhitespaceComment
MaxLength
ファイルが、異常に大きな最大長のコメントを含んでいます。
PDFParserWhitespaceComment
MinLength
ファイルが、リーダーソフトウェアによって使用されていない、異常に短いコメントを含んでいます。
PDFParserWhitespaceComment
TotalLength
ファイルが、異常に大量のコメントアウトされたデータを含んでいます。
PDFParserWhitespaceEOL0ACount
ファイルが、異常に多くの短い行末文字を含んでいます。
PDFParserWhitespaceWhitespace
00Count
ファイルが、空白として使用される 0 バイトを異常に多く含んでいます。
PDFParserWhitespaceWhitespace
09Count
ファイルが、空白として使用される 09 バイトを異常に多く含んでいます。
PDFParserWhitespaceWhitespace
LongestRun
ファイルが、異常に長い空白領域を含んでいます。
PDFParserWhitespaceWhitespace
TotalLength
ファイルが、異常に大量の空白を含んでいます。
PDFParseru3DObjectsNames
AllNames
ファイルが、異常に多くの U3D オブジェクトを含んでいます。
PossibleBAT
このファイルは、標準的な
Windows
バッチファイルを持っている証拠を含んでいます。マルウェアは、一般的なスキャン技術を回避し、永続性を可能にするためにこれを行います。
PossibleDinkumware
このファイルは、Dinkumware の一部のコンポーネントを含む証拠を示しています。Dinkumware は、さまざまなマルウェアコンポーネントで頻繁に使用されています。
PropertyImpropriety
ファイルが、疑わしい OOXML プロパティを含んでいます。
RaiseExceptionImports
このファイルは、プログラム内で例外を発生させるために使用する関数をインポートします。マルウェアは、標準的な動的コード分析をたどるのを困難にする戦術を実装するために、これを行います。
ReservedFieldsViolation
ファイルが、予約されたフィールドの使用に関する指定に違反しています。
ResourceAnomaly
このファイルは、リソースセクションに異常を含んでいます。マルウェアは、DLL のリソースセクションに不正なビットや他の変則的なビットを含んでいることが頻繁にあります。
RWXSection
この PE は、修正可能なコードを含んでいる可能性があります。これは、最善の場合でも非正統的、最悪の場合にはウイルス感染の症状を示すものです。この特徴は、ファイルが標準以外のコンパイラを使用してビルドされたか、最初にビルドされた後に変更されたことを意味することがあります。
SectorMalfeasance
ファイルが、OLE セクター割り当ての構造的な異常を含んでいます。
StringInvalid
文字列テーブル内の文字列への参照のいずれかが、負のオフセットを指していました。
StringTableNotTerminated
文字列テーブルが null バイトで終了しませんでした。これにより、実行時に、終了しない文字列による障害が発生する可能性があります。
StringTruncated
文字列テーブル内の文字列への参照のいずれかが、ファイルの最後より後の位置を指していました。
SuspiciousPDataSection
この PE は「PDATA」領域に何かを隠していますが、何であるかが不明です。PE ファイルの pdata 領域は一般的に、ランタイム構造の処理に使用されますが、この特定のファイルには他のものが含まれています。
SuspiciousRelocSection
この PE は「relocations」領域に何かを隠していますが、何であるかが不明です。PE ファイルの relocations 領域は一般的に、特定のシンボルの再配置に使用されますが、この特定のファイルには他のものが含まれています。
SuspiciousDirectoryNames
ファイルが、悪に関連付けられている OLE ディレクトリ名です。
SuspiciousDirectoryStructure
ファイルに、OLE ディレクトリ構造の異常があります。
SuspiciousEmbedding
ファイルが、OLE の疑わしい埋め込みを使用しています。
SuspiciousVBA
ファイルが、疑わしい VBA コードを含んでいます。
SuspiciousVBALib
ファイルが、疑わしい VBA ライブラリ使用を示しています。
SuspiciousVBANames
ファイルが、VBA 構造に関連付けられた疑わしい名前を含んでいます。
SuspiciousVBAVersion
ファイルが、疑わしい VBA バージョンを含んでいます。
SWFOddity
ファイルが、埋め込まれた SWF の特定の疑わしい使用状況を含んでいます。
TooMalformedToProcess
ファイルの形式が非常に不正なため、完全には解析できませんでした。
VersionAnomaly
このファイルには、バージョン情報の表示方法に関する問題があります。マルウェアには、検出を回避するためにこれがあります。

コレクション

これらのインジケータは、データ収集の機能や証拠を示す要素をファイルが持っていることを示します。これには、システム構成の列挙や特定の機密情報の収集が含まれる可能性があります。
インジケータ
説明
BrowserInfoTheft
このファイルは、ブラウザーキャッシュに保存されているパスワードを読み取る意図の証拠を含んでいます。マルウェアは、これを使用して窃盗のためにパスワードを収集します。
CredentialProvider
このファイルは、資格情報プロバイダーとのやり取り、または資格情報プロバイダーのように見せようとする証拠を含んでいます。マルウェアがこれを行うのは、資格情報プロバイダーはユーザー名やパスワードといった多種類の機密データにアクセスできるため、資格情報プロバイダーとして機能することで認証の整合性を妨害できる可能性があるからです。
CurrentUserInfoImports
このファイルは、現在ログインしているユーザーに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して特権の昇格経路を特定し、攻撃をより適切に調整します。
DebugStringImports
このファイルは、デバッグ文字列の出力に使用される関数をインポートします。通常、これは、本番ソフトウェアでは無効になっていますが、テスト中のマルウェアではオンのままになっています。
DiskInfoImports
このファイルは、システム上のボリュームの詳細を収集するために使用できる関数をインポートします。マルウェアは、これを一覧表示と組み合わせて使用して、将来の攻撃に備えてボリュームに関する事実を特定します。
EnumerateFileImports
このファイルは、ファイルの一覧表示に使用される関数をインポートします。マルウェアは、これを使用して機密データを探したり、さらなる攻撃ポイントを見つけたりします。
EnumerateModuleImports
このファイルは、実行中のプロセスが使用するすべての DLL を一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、プロセス内にロードする特定のライブラリを見つけてターゲットにし、注入しようとするプロセスをマップします。
EnumerateNetwork
このファイルは、接続されたネットワークとネットワークアダプタを数え上げる機能の証拠を示しています。マルウェアは、ターゲットシステムが他のシステムに対してある位置を特定し、考えられる横方向のパスを探すためにこれを行います。
EnumerateProcessImports
このファイルは、システム上で実行中のすべてのプロセスを一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、注入するプロセスまたは削除しようとするプロセスを特定します。
EnumerateVolumeImports
このファイルは、システム上のボリュームを一覧表示するために使用できる関数をインポートします。マルウェアは、これを使用して、データを検索したり感染を広げたりするのに必要な可能性がある領域をすべて見つけます。
GinaImports
このファイルは、Gina へのアクセスに使用される関数をインポートします。マルウェアは、安全な Ctrl-Alt-Del パスワード入力システムまたはその他のネットワークログイン機能に違反しようとして、これを行います。
HostnameSearchImports
このファイルは、ネットワーク上のホスト名とマシン自体のホスト名に関する情報を収集するために使用できる関数をインポートします。マルウェアは、この機能を使用して、さらなる攻撃の標的の精度を上げたり、スキャンして新しい標的を探したりします。
KeystrokeLogImports
このファイルは、キーボードからキーストロークをキャプチャして記録できる関数をインポートします。マルウェアは、これを使用してキーストロークをキャプチャして保存し、パスワードなどの機密情報を見つけます。
OSInfoImports
このファイルは、現在のオペレーティングシステムに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、さらなる攻撃をより適切に調整する方法を特定し、情報をコントローラーに報告します。
PossibleKeylogger
ファイルには、キーロガータイプのアクティビティの証拠が含まれています。マルウェアは、キーロガーを使用してキーボードから機密情報を収集します。
PossiblePasswords
このファイルは、一般的なパスワードを含む証拠があるか、一般的なパスワードの総当たり攻撃を有効にする構造を持っています。マルウェアは、これを使用して、パスワードを介して他のリソースにアクセスすることでネットワークへの侵入を試みます。
ProcessorInfoWMI
このファイルは、プロセッサの詳細を特定するために使用できる関数をインポートします。マルウェアは、これを使用して攻撃を調整し、このデータを共通のコマンド&コントロールインフラストラクチャに流出させます。
RDPUsage
このファイルは、リモートデスクトッププロトコル(RDP)とのやり取りの証拠を示します。マルウェアは、これを使用して横展開し、直接的なコマンド&コントロール機能を提供することが頻繁にあります。
SpyString
このファイルは、アクセシビリティ API の使用を介してクリップボードまたはユーザーアクションを監視している可能性があります。
SystemDirImports
このファイルは、システムディレクトリの特定に使用される関数をインポートします。マルウェアは、これを行って、インストールされているシステムバイナリの多くがある場所を見つけます。システムディレクトリは、システムバイナリの中に隠れていることが多いためです。
UserEnvInfoImports
このファイルは、現在ログインしているユーザーの環境に関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、ログインしたユーザーの詳細を特定し、環境変数から収集できる他のインテリジェンスを探します。

データ損失

これらのインジケータは、データの窃盗の機能や証拠を示す要素をファイルが持っていることを示します。これには、送信ネットワーク接続、ブラウザーとして機能している証拠、および他のネットワーク通信が含まれる可能性があります。
インジケータ
説明
AbnormalNetworkActivity
このファイルは、非標準的なネットワークを実装しています。マルウェアはこれを行って、より一般的なネットワークアプローチの検出を回避します。
BrowserPluginString
ブラウザプラグインを列挙またはインストールする機能がファイルにあります。
ContainsBrowserString
このファイルには、カスタムUserAgent文字列を作成しようとしている証拠が含まれています。マルウェアは、一般的な UserAgent 文字列を使用して、送信される要求での検出を回避することが頻繁にあります。
DownloadFileImports
このファイルは、ファイルをシステムにダウンロードするために使用できる関数をインポートします。マルウェアは、これをさらに攻撃を企てる手段としても、送信 URL を介してデータを流出させるための手段としても使用します。
FirewallModifyImports
このファイルは、ローカル
Windows
ファイアウォールの変更に使用される関数をインポートします。マルウェアは、これを使用して穴を開け、検出を回避します。
HTTPCustomHeaders
このファイルは、他のカスタム HTTP ヘッダーの作成の証拠を含んでいます。マルウェアは、コマンド&コントロールインフラストラクチャとのやり取りを促進し、検出を回避するためにこれを行います。
IRCCommands
このファイルは、IRC サーバーとのやり取りの証拠を含んでいます。マルウェアは一般的に、IRC を使用してコマンド&コントロールインフラストラクチャを促進します。
MemoryExfiltrationImports
このファイルは、実行中のプロセスからメモリを読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、自身を注入する適切な場所を決定したり、実行中のプロセスのメモリからパスワード、クレジットカード、その他の機密情報などの有用な情報を抽出したりします。
NetworkOutboundImports
このファイルは、データをローカルネットワークまたは一般のインターネットに送信するために使用できる機能をインポートします。マルウェアは、データの窃盗またはコマンド&コントロールの手段としてこれを使用します。
PipeUsage
このファイルは、名前付きパイプの操作を可能にする関数をインポートします。マルウェアは、通信およびデータ窃盗の手段としてこれを使用します。
RPCUsage
このファイルは、リモートプロシージャコール(RPC)インフラストラクチャとの通信を可能にする関数をインポートします。マルウェアは、これを使用して広がったり、データをリモートシステムに送信して流出させたりします。

詐欺

これらのインジケータは、ファイルに欺瞞を試みる機能や証拠があることを示す要素をファイルが持っていることを示します。デセプションは、隠されたセクション、検出を回避するためのコード、メタデータやその他のセクションにおける不適切なラベル付けなどの形をとることがあります。
インジケータ
説明
AddedHeader
ファイルが、悪意のある隠れたペイロードの可能性がある、難読化された追加の PE ヘッダーを含んでいます。
AddedKernel32
ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。
AddedMscoree
ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。
AddedMsvbvm
ファイルが、msvbvm(
Microsoft Visual Basic
6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、難読化された追加の参照を含んでいます。
AntiVM
このファイルは、プロセスが仮想マシンで実行されているかどうかを特定するために使用できる機能を示しています。マルウェアは、一般的になりつつある仮想化されたサンドボックスでの実行を回避するためにこれを行います。
AutoitDownloadExecute
AutoIT スクリプトがファイルをダウンロードし、実行できます。これは、悪意のある追加ペイロードを配信するために行われることがよくあります。
AutoitObfuscationStringConcat
AutoIT スクリプトが、文字列連結で難読化されている可能性があります。これは、(全体的に)疑わしいコマンドの検出を回避するために行われることがよくあります。
AutoitShellcodeCalling
AutoIT スクリプトが CallWindowProc()
Windows
API 関数を使用していますが、これはシェルコードの注入を示している可能性があります。
AutoitUseResources
AutoIT スクリプトが、スクリプトとともに保存されているリソースデータを使用しています。マルウェアは多くの場合、重要な部分をリソースデータとして保存し、実行時に展開します。したがって、これは疑わしいように見えます。
CabinentUsage
このファイルは、CAB ファイルを含んでいる証拠を示しています。マルウェアは、多くの検出システムが認識できないような方法で機密性の高いコンポーネントをパッケージ化するためにこれを行います。
ClearKernel32
ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。
ClearMscoree
ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。
ClearMsvbvm
ファイルが、msvbvm.dll(
Microsoft Visual Basic
6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。
ComplexInvalidVersion
ファイルが、誤った PDF バージョンを宣言しています。
ComplexJsStenographySuspected
ファイルが、リテラル文字列に隠された
JavaScript
コードを含んでいる可能性があります。
ContainsEmbeddedDocument
このファイルには、オブジェクト内に埋め込まれたドキュメントが含まれています。マルウェアはこれを使用して、攻撃を複数のソースに分散したり、実際の形を隠したりできます。
CryptoKeys
このファイルは、埋め込まれた暗号化キーを持っている証拠を含んでいます。マルウェアは、検出を回避するために、そしておそらくはリモートサービス認証としてこれを行います。
DebugCheckImports
このファイルは、デバッガのように動作できるようにする関数をインポートします。マルウェアは、この機能を使用して他のプロセスから読み書きします。
EmbeddedPE
この PE 内には追加の PE があります。これは通常、ソフトウェアインストールプログラムでのみ見られます。マルウェアは、まず PE ファイルを埋め込んでから、ディスクにドロップして PE を実行することが頻繁にあります。この手法は多くの場合、基礎になっているスキャン技術が理解できない形式でバイナリをパッケージ化して保護スキャナを回避するために使用されます。
EncodedDosStub1
PE が、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。
EncodedDosStub2
PE が、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。
EncodedPE
この PE 内には、追加の PE が隠されています。これは非常に疑わしい行動です。EmbeddedPE インジケータと似ていますが、エンコーディング方式を使用して、オブジェクト内のバイナリをさらに隠そうとしています。
ExecuteDLL
この PE は、一般的なメソッドを使用して DLL を実行する機能の証拠を含んでいます。マルウェアは、一般的な検出方法を回避するための手段としてこれを行います。
FakeMicrosoft
この PE は、
Microsoft
によって記述されたと主張していますが、
Microsoft
PE のようには見えません。マルウェアは一般的に、
Microsoft
PE になりすまそうとします。目立たないように見えるためです。
HiddenMachO
ファイルの内部に別の MachO 実行可能ファイルがあります。これは、適切に宣言されていません。これは、ペイロードが容易に検出されないように隠す試みである可能性があります。
HTTPCustomUserAgent
このファイルは、ブラウザー UserAgent の操作の証拠を含んでいます。マルウェアは、コマンド&コントロールとのやり取りを促進し、検出を回避するためにこれを行います。
InjectProcessImports
PE が、他のプロセスにコードを注入できます。この機能は多くの場合、プロセスが何らかの形で欺瞞を試みているか、敵意を持っていることを意味します。
InvisibleEXE
この PE は、見えない状態で実行されるようですが、バックグラウンドサービスではありません。隠れたままになるように設計されている可能性があります。
JSTokensSuspicious
ドキュメントが、異常に疑わしい
JavaScript
を含んでいます。
MSCertStore
このファイルは、コア
Windows
証明書ストアとのやり取りの証拠を示しています。マルウェアは、資格情報を収集し、不正な鍵をストリームに挿入して、中間者攻撃などのことを促進するためにこれを行います。
MSCryptoImports
ファイルが、コア
Windows
暗号化ライブラリを使用する関数をインポートします。マルウェアは、独自の暗号化を持ち歩かずに済むように、これを使用して、ローカルにインストールされた暗号化を活用します。
PDFParserDotDotSlash1URICount
ファイルが、「../」など相対パスを使用してパストラバーサルを試みる可能性があります。
PDFParserJavaScriptMagicseval~28
ファイルが、難読化された
JavaScript
を含んでいる可能性があるか、eval() で動的にロードされた
JavaScript
を実行できます。
PDFParserJavaScriptMagic
sunescape~28
ファイルが、難読化された
JavaScript
を含んでいる可能性があります。
PDFParserjsObjectsLength
ファイルが、異常に多くの個別
JavaScript
スクリプトを含んでいます。
PDFParserJSStreamCount
ファイルが、異常に多くの
JavaScript
関連のストリームを含んでいます。
PDFParserJSTokenCounts0
cumulativesum
ファイルが、異常に多くの
JavaScript
トークンを含んでいます。
PDFParserJSTokenCounts1
cumulativesum
ファイルが、異常に多くの
JavaScript
トークンを含んでいます。
PDFParserNamesAllNames
Suspicious
ファイルが、異常に多くの疑わしい名前を含んでいます。
PDFParserNamesObfuscatedNames
Suspicious
ファイルが、難読化された名前を異常に多く含んでいます。
PDFParserPEDetections
ファイルが埋め込み PE ファイルを含んでいます。
PDFParserSwfObjectsxObservationsx
SWFObjectsversion
ファイルが、異常なバージョン番号を持つ SWF オブジェクトを含んでいます。
PDFParserSwfObjectsxObservation
sxSWFObjectsxZLibcmfSWFObjectsx
ZLibcmf
ファイルが、異常な圧縮パラメーターを持つ SWF オブジェクトを含んでいます。
PDFParserswfObjectsxObservations
xSWFObjectsxZLibflg
ファイルが、異常な圧縮フラグパラメーターを持つ SWF オブジェクトを含んでいます。
PE_ClearDosStub1
ファイルが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。
PE_ClearDosStub2
ファイルが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。
PE_ClearHeader
ファイルが、ファイル構造に属していない PE ファイルヘッダーデータを含んでいます。
PEinAppendedSpace
ファイルが、ファイル構造に属していない PE ファイルを含んでいます。
PEinFreeSpace
ファイルが、ファイル構造に属していない PE ファイルを含んでいます。
ProtectionExamination
このファイルは、一般的な保護システムを探しているようです。マルウェアは、システムにインストールされている保護システムに合わせた反保護対策を開始するためにこれを行います。
SegmentSuspiciousName
セグメントに名前として無効な文字列があるか、標準的ではない異常な名前があります。これは、コンパイル後の改ざんか、packer や難読化ツールの使用を示している可能性があります。
SegmentSuspiciousSize
セグメントサイズが、内部のコンテンツ(セクション)の合計サイズと大きく異なります。これは、参照されていない領域の使用、または悪意のあるコードを実行時に展開するための領域の予約を示している可能性があります。
SelfExtraction
このファイルは自己解凍型アーカイブのようです。マルウェアは、この戦術を使用して真の意図を難読化することが頻繁にあります。
ServiceDLL
このファイルはサービス DLL のようです。サービス DLL は svchost.exe プロセスでロードされるため、マルウェアの一般的な永続手法です。
StringJsSplitting
ファイルが、疑わしい JS トークンを含んでいます。
SWFinAppendedSpace
ファイルが、ドキュメント構造に属していない Shockwave flash オブジェクトを含んでいます。
TempFileImports
このファイルは、一時ファイルにアクセスし、一時ファイルを操作するために使用される関数をインポートします。一時ファイルは検出を回避できる傾向があるため、マルウェアはこれを行います。
UsesCompression
このファイルには、圧縮されているように見えるコード部分があります。マルウェアは、この手法を使用して検出を回避します。
VirtualProtectImports
このファイルは、実行中のプロセスからメモリを変更するために使用される関数をインポートします。マルウェアはこれを使用して、実行中のプロセスに自身を注入します。
XoredHeader
ファイルが、悪意のある隠れたペイロードの可能性がある、xor で難読化された PE ヘッダーを含んでいます。
XoredKernel32
ファイルが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。
XoredMscoree
ファイルが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。
XoredMsvbvm
ファイルが、msvbvm.dll(
Microsoft Visual Basic
6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。

破壊

これらのインジケータは、破壊の機能や証拠を示す要素をファイルが持っていることを示します。破壊的な機能には、ファイルやディレクトリなど、システムリソースを削除する機能が含まれます。
インジケータ
説明
action_writeByte
ドキュメント内の VBA スクリプトが、ファイルにバイトを書き込んでいる可能性があります。これは、正規のドキュメントでは異常な動作です。
action_hexToBin
ファイル内の VBA スクリプトが、16 進数から 2 進数への変換を使用していると思われます。これは、悪意のある隠れたペイロードのデコードを示している可能性があります。
appended_URI
ファイルが、ファイル構造に属していないリンクを含んでいます。
appended_exploit
ファイルが、疑わしいデータをファイル構造外に含んでいます。これは、エクスプロイトを示している可能性があります。
appended_macro
ファイルが、ファイル構造に属していないマクロスクリプトを含んでいます。
appended_90_nopsled
ファイルが、ファイル構造に属していない nop スレッドを含んでいます。これはほぼ確実に、エクスプロイテーションを促進する目的で存在します。
AutorunsPersistence
ファイルが、永続性の一般的な手法(起動スクリプトなど)とのやり取りを試みます。マルウェアは一般的に、永続性を実現するためにこの戦術を使用します。
DestructionString
シェルコマンドを介してプロセスを強制終了したり、マシンをシャットダウンしたりする機能がファイルにあります。
FileDirDeleteImports
この PE は、ファイルまたはディレクトリを削除するために使用できる関数をインポートします。マルウェアは、これを使用してシステムを破壊し、痕跡を隠します。
JsHeapSpray
ファイルが、ヒープスプレーコードを含んでいる可能性があります。
PossibleLocker
このファイルは、一般的なツールをポリシーごとにロックアウトしようとしている証拠を示しています。マルウェアは、永続性を維持し、検出とクリーンアップをより困難にするためにこれを行います。
RegistryManipulation
このファイルは、
Windows
レジストリを操作するために使用できる関数をインポートします。マルウェアは、永続性を実現し、検出を回避するなど、多くの理由でこれを行います。
SeBackupPrivilege
この PE は、アクセスが許可されていないファイルの読み取りを試みる可能性があります。SeBackup 権限では、アクセス制御に関わりなくファイルにアクセスできます。この権限は、バックアップを処理するプログラムによって頻繁に使用され、多くの場合は管理ユーザーに限定されています。ただし、他の方法では難しい特定の要素へのアクセスを得るために悪意を持って利用される可能性もあります。
SeDebugPrivilege
この PE は、システムプロセスの改ざんを試みる可能性があります。SeDebug 権限は、自分のプロセス以外のプロセスにアクセスするために使用され、多くの場合は管理ユーザーに限定されています。この権限は、他のプロセスへの読み書きと組み合わされることがよくあります。
SeRestorePrivilege
この PE は、アクセスが許可されていないファイルの変更または削除を試みる可能性があります。SeRestore 特権では、アクセス制御を考慮せずに書き込むことができます。
ServiceControlImports
このファイルは、現在のシステムで
Windows
サービスを制御できる関数をインポートします。マルウェアは、これを使用して、自身をサービスとしてインストールすることによりバックグラウンドで起動したり、保護機能が存在する可能性のある他のサービスを無効にしたりします。
SkylinedHeapSpray
ファイルが、変更されていないバージョンの skylined ヒープスプレーコードを含んでいます。
SpawnProcessImports
この PE は、別のプロセスを生成するために使用できる関数をインポートします。マルウェアはこれを使用して、感染の次の段階(通常はインターネットからダウンロード)を開始します。
StringJsExploit
ファイルが、エクスプロイテーションを行えると思われる
JavaScript
コードを含んでいます。
StringJsObfuscation
ファイルが
JavaScript
難読化トークンを含んでいます。
TerminateProcessImports
このファイルは、実行中のプロセスを停止するために使用できる関数をインポートします。マルウェアはこれを使用して、保護システムを削除したり、実行中のシステムに損害を与えたりします。
trigger_AutoClose
ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。
trigger_Auto_Close
ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。
trigger_AutoExec
ファイル内の VBA スクリプトが、自動的に実行されようとしている可能性があります。
trigger_AutoExit
ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。
trigger_AutoNew
ファイル内の VBA スクリプトが、新しいドキュメントが作成されるときに自動的に実行されようとしている可能性があります。
trigger_AutoOpen
ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。
trigger_Auto_Open
ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。
trigger_DocumentBeforeClose
ファイル内の VBA スクリプトが、ファイルが閉じる直前に自動的に実行されようとしている可能性があります。
trigger_DocumentChange
ファイル内の VBA スクリプトが、ファイルが変更されるときに自動的に実行されようとしている可能性があります。
trigger_Document_Close
ファイル内の VBA スクリプトが、ファイルを閉じるときに自動的に実行されようとしている可能性があります。
trigger_Document_New
ファイル内の VBA スクリプトが、新しいファイルが作成されるときに自動的に実行されようとしている可能性があります。
trigger_DocumentOpen
ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。
trigger_Document_Open
ファイル内の VBA スクリプトが、ファイルが開かれたらすぐに実行されようとしている可能性があります。
trigger_NewDocument
ファイル内の VBA スクリプトが、新しいファイルが作成されるときに自動的に実行されようとしている可能性があります。
trigger_Workbook_Close
ファイル内の VBA スクリプトが、
Microsoft Excel
ブックを閉じるときに自動的に実行されようとしている可能性があります。
trigger_Workbook_Open
ファイル内の VBA スクリプトが、
Microsoft Excel
ブックを開くときに自動的に実行されようとしている可能性があります。
UserManagementImports
このファイルは、ローカルシステムのユーザーを変更するために使用できる関数をインポートします。鍵ユーザーの詳細を追加、削除、または変更できます。マルウェアはこの機能を使用して、永続性を実現したり、ローカルシステムに害を与えたりする可能性があります。
VirtualAllocImports
このファイルは、実行中のプロセスでメモリを作成するために使用される関数をインポートします。マルウェアは、実行中のプロセスに自身を注入するためにこれを行います。

シェルコード

これらのインジケータは、ソフトウェア脆弱性のエクスプロイトで小さなコードがペイロードとして使用されていることを示します。通常は、侵害されたマシンを攻撃者が制御する元となる可能性があるコマンドシェルを起動するため、シェルコードと呼ばれていますが、同様のタスクを実行するコードはすべてシェルコードと呼ばれる可能性があります。
インジケータ
説明
ApiHashing
ファイルが、メモリにロードされているライブラリ API を密かに見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。
BlackholeV2
ファイルが、Blackhole exploit kit からのものであるように見えます。
ComplexGotoEmbed
ファイルが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。
ComplexSuspiciousHeaderLocation
PDF ヘッダーがゼロ以外のオフセットに配置されています。これは、このファイルが PDF ドキュメントとして認識されないようにしようとする試みを示している可能性があります。
EmbeddedTiff
ファイルが、エクスプロイテーションを促進する nop スレッドを含む、巧みに作成された TIFF 画像を含んでいる可能性があります。
EmbeddedXDP
ファイルが、XML データパッケージ(XDP)として別の PDF を含んでいる可能性があります。
FindKernel32Base1
ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。
FindKernel32Base2
ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。
FindKernel32Base3
ファイルが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。
FunctionPrologSig
ファイルが、典型的な関数プロローグ(シェルコードを含んでいる可能性が高い)であるバイトシーケンスを含んでいます。
GetEIP1
ファイルが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。
GetEIP4
ファイルが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。
IndirectFnCall1
ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。
IndirectFnCall2
ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。
IndirectFnCall3
ファイルが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。
SehSig
ファイルが、構造化例外処理(SEH)に典型的なバイトシーケンスを含んでおり、シェルコードを含んでいる可能性が高いです。
StringLaunchActionBrowser
ファイルが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。
StringLaunchActionShell
ファイルが、シェルアクションを実行できる可能性があります。
StringSingExploit
ファイルが、エクスプロイトを含んでいる可能性があります。

その他のインジケータ

このセクションでは、他のカテゴリに適合しないインジケータについて説明します。
インジケータ
説明
AutoitFileOperations
AutoIT スクリプトが、ファイルに対して複数のアクションを実行できます。これは、情報収集、永続姓、または破壊に使用される場合があります。
AutorunString
自動実行メカニズムを使用して永続性を実現する機能がファイルにあります。
CodepageLookupImports
このファイルは、実行中のシステムのコードページ(場所)を検索するために使用される関数をインポートします。マルウェアはこれを使用して、特定のグループをより適切にターゲット設定するために、システムが実行されている国/地域を識別します。
MutexImports
このファイルは、ミューテックスオブジェクトを作成および操作する関数をインポートします。マルウェアは頻繁にミューテックスを使用して、システムへの複数回の感染を回避します。
OpenSSL
静的
このファイルは、検出されないようにコンパイルされた
OpenSSL
のバージョンを含んでいます。マルウェアは、強力な証拠を残さずに暗号化保存機能を含めるためにこれを行います。
PListString
オペレーティングシステムによって使用されるプロパティリストとやり取りする機能がファイルにあります。これは、永続性を実現したり、さまざまなプロセスを妨害したりするために使用される場合があります。
PrivEscalationCryptBase
このファイルは、CryptBaseを使用して権限の昇格を使用しようとした証拠を示しています。マルウェアはこれを使用して、影響を受けるシステムでの権限を強くします。
ShellCommandString
偵察、特権の昇格、またはデータ破壊に機密性の高いシェルコマンドを使用する機能がファイルにあります。
SystemCallSuspicious
システムおよび他のプロセスを監視および/または制御し、デバッグのようなアクションを実行する機能がファイルにあります。