脅威インジケータ
変則
これらのインジケータは、何らかの形で不整合があったり、異常があったりする要素をオブジェクトが持っていることを示します。多くの場合、ファイル内の構造的な要素に不整合があります。
項目 | 説明 |
|---|---|
16bitSubsystem | このオブジェクトは、16 ビットサブシステムを使用しています。マルウェアはこれを使用して、オペレーティングシステムの安全性が低く、十分に監視されていない部分に存在し、頻繁に特権昇格攻撃を実行します。 |
Anachronism | この PE は、記述された時期を偽っているようです。これは、正規のソフトウェアでは異例なことです。 |
AppendedData | この PE には、ファイルの通常の領域を超えて、追加のコンテンツが付加されています。付加されたデータは悪意のあるコードやデータを埋め込むために頻繁に使用され、保護システムから見落とされることが頻繁にあります。 |
AutoitDbgPrivilege | AutoIT スクリプトがデバッグアクティビティを実行できます。 |
AutoitManyDllCalls | AutoIT スクリプトが多くの外部 DLL 呼び出しを使用しています。AutoIT ランタイムには、多数の一般的な機能が既にあるため、外部 DLL から追加の機能を使用することは、悪意があることの兆候である可能性があります。 |
AutoitMutex | AutoIT スクリプトが同期オブジェクトを作成しています。これは、同じターゲットの複数回の感染を防止するためにマルウェアによって使用されることがよくあります。 |
AutoitProcessCarving | AutoIT スクリプトが、別のプロセスから来ているようなコードを実行するプロセスカービングを実行している可能性があります。これは、検出を妨害するために行われることがよくあります。 |
AutoitProcessInjection | AutoIT スクリプトが、おそらく検出されずに留まったりデータを盗んだりするために、他のプロセスのコンテキストでコードを実行するプロセスインジェクションを実行している可能性があります。 |
AutoitRegWrite | AutoIT スクリプトが Windows レジストリに書き込んでいます。 |
Base64Alphabet | このオブジェクトは、アルファベットの BASE64 エンコーディングを使用している証拠を含んでいます。マルウェアは、一般的な検出を回避することを試みたり、BASE64 エンコーディングを使用している他のプログラムを攻撃したりしようとして、これを行います。 |
CommandlineArgsImport | このサンプルは、コマンドラインから引数を読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、以後の実行に関する情報を収集します。 |
ComplexMultipeFilters | ドキュメントが、複数のフィルターを持つ複数のストリームを含んでいます。 |
ComplexObfuscatedEncoding | ドキュメントが、難読化された名前を異常に多く含んでいます。 |
ComplexUnsupportedVersion EmbeddedFiles | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの EmbeddedFiles 機能を使用しています。 |
ComplexUnsupportedVersionFlate | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの FlateDecode 機能を使用しています。 |
ComplexUnsupportedVersionJbig2 | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの JBIG2Decode 機能を使用しています。 |
ComplexUnsupportedVersionJs | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの JavaScript 機能を使用しています。 |
ComplexUnsupportedVersionXFA | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの XFA 機能を使用しています。 |
ComplexUnsupportedVersionXobject | ドキュメントが、ドキュメントで宣言されている PDF 規格より新しいバージョンの XObject 機能を使用しています。 |
ContainsFlash | ドキュメントが flash オブジェクトを含んでいます。 |
ContainsPE | 埋め込み実行可能ファイルを示します。 |
ContainsU3D | ドキュメントが U3D オブジェクトを含んでいます。 |
InvalidCodePageUsed | ドキュメントが、おそらく検出を回避するために、無効または認識されないロケールを使用しています。 |
InvalidData | ドキュメントのメタデータが明らかに偽造であるか、破損しています。 |
InvalidStructure | ドキュメント構造が無効です。サイズ、メタデータ、または内部セクター割り当てテーブルが間違っています。エクスプロイトを示している可能性があります。 |
ManifextMismatch | このオブジェクトは、マニフェスト内の不整合を示しています。マルウェアは、検出を回避するためにこれを行いますが、追跡を深く隠すことはまれです。 |
NontrivialDLLEP | この PE は、非自明なエントリポイントを持つ DLL です。これは DLL 間では一般的ですが、悪意のある DLL がそのエントリポイントを利用してプロセス内に入り込む可能性があります。 |
NullValuesInStrings | ドキュメント内のいくつかの文字列が、途中に null 文字を含んでいます。 |
PDFParserArraysContainsNullCount | ドキュメントが、配列内に null 値を異常に多く含んでいます。 |
PDFParserArraysHeterogeneous Count | ドキュメントが、異常に多くの異種類の要素を含む配列を含んでいます。 |
PDFParserMailtoURICount | ドキュメントが、異常に多くのメールリンク(mailto:)を含んでいます。 |
PDFParserMinPageCount | ドキュメントのページオブジェクトの構造が異常です。ノードごとに多数の子ページオブジェクトがあります。 |
PDFParserNamesPoundName MaxLength | ドキュメントが、長いエンコード文字列を使用してコンテンツを難読化しようとしている可能性があります。 |
PDFParserNamesPoundName MinLength | ドキュメントが、異常に大きな最小長のエスケープされた名前を含んでいます。 |
PDFParserNamesPoundName TotalLength | ドキュメントが、コンテンツの多くをエンコード文字列に格納することでコンテンツを難読化しようとしている可能性があります。 |
PDFParserNamesPoundName UpperCount | ドキュメントが、大文字の 16 進数値でエスケープされた名前を異常に多く含んでいます。 |
PDFParserNamesPoundName ValidCount | ドキュメントが、異常に多くの有効でエスケープされた名前を含んでいます。 |
PDFParserNamesPoundPerName MaxCount | ドキュメントが、異常に大きな最大数のエスケープされた文字(1 つの名前あたり)を含んでいます。 |
PDFParserNamesPound UnnecessaryCount | ドキュメントが、異常に多くの不必要にエスケープされた名前を含んでいます。 |
PDFParserNumbersLeading DigitTallies8 | ドキュメントが、10 進数表現の 8 で始まる数値を異常に多く含んでいます。 |
PDFParserNumbersPlusCount | ドキュメントが、明示的なプラス記号付きの数値を異常に多く含んでいます。 |
PDFParserNumbersRealMax RawLength | ドキュメントが、異常に大きな最大長の実数を含んでいます。 |
PDFParserPageCounts | ドキュメントが、異常に多くの子ページオブジェクトを含んでいます。 |
PDFParserPageObjectCount | ドキュメントが、異常に多くのページオブジェクトを含んでいます。 |
PDFParserSizeEOF | ドキュメントが、異常に長い「ファイルの最後」シーケンスを含んでいます。 |
PDFParserStringsHexLowerCount | ドキュメントが、小文字の 16 進数桁でエスケープされた文字列を異常に多く含んでいます。 |
PDFParserStringsLiteralString MaxLength | ドキュメントが、異常に大きな最大長のリテラル文字列を含んでいます。 |
PDFParserStringsOctalZero PaddedCount | ドキュメントが、文字列内で 8 進数エスケープされた文字を異常に多く含んでおり、文字列が不必要にゼロパディングされています。 |
PDFParserTrailerSpread | ドキュメントが、トレーラーオブジェクト間に異常に大きいスプレッドを含んでいます。 |
PDFParserWhitespaceComment MaxLength | ドキュメントが、異常に大きな最大長のコメントを含んでいます。 |
PDFParserWhitespaceComment MinLength | ドキュメントが、リーダーソフトウェアによって使用されていない、異常に短いコメントを含んでいます。 |
PDFParserWhitespaceComment TotalLength | ドキュメントが、異常に大量のコメントアウトされたデータを含んでいます。 |
PDFParserWhitespaceEOL0ACount | ドキュメントが、異常に多くの短い行末文字を含んでいます。 |
PDFParserWhitespaceWhitespace 00Count | ドキュメントが、空白として使用される 0 バイトを異常に多く含んでいます。 |
PDFParserWhitespaceWhitespace 09Count | ドキュメントが、空白として使用される 09 バイトを異常に多く含んでいます。 |
PDFParserWhitespaceWhitespace LongestRun | ドキュメントが、異常に長い空白領域を含んでいます。 |
PDFParserWhitespaceWhitespace TotalLength | ドキュメントが、異常に大量の空白を含んでいます。 |
PDFParseru3DObjectsNames AllNames | ドキュメントが、異常に多くの u3d オブジェクトを含んでいます。 |
PossibleBAT | このオブジェクトは、標準的な Windows バッチファイルを持っている証拠を含んでいます。マルウェアは、一般的なスキャン技術を回避し、永続性を可能にするためにこれを行います。 |
PossibleDinkumware | このオブジェクトは、Dinkumware の一部のコンポーネントを含む証拠を示しています。Dinkumware は、さまざまなマルウェアコンポーネントで頻繁に使用されています。 |
PropertyImpropriety | 疑わしい OOXML プロパティを報告します。 |
RaiseExceptionImports | このオブジェクトは、プログラム内で例外を発生させるために使用する関数をインポートします。マルウェアは、標準的な動的コード分析をたどるのを困難にする戦術を実装するために、これを行います。 |
ReservedFieldsViolation | ドキュメントが、予約されたフィールドの使用に関する指定に違反しています。 |
ResourceAnomaly | このオブジェクトは、リソースセクションに異常を含んでいます。マルウェアは、DLL のリソースセクションに不正なビットや他の変則的なビットを含んでいることが頻繁にあります。 |
RWXSection | この PE は、修正可能なコードを含んでいる可能性があります。これは、最善の場合でも非正統的、最悪の場合にはウイルス感染の症状を示すものです。しばしば、この特徴は、オブジェクトが標準以外のコンパイラを使用してビルドされたか、最初にビルドされた後に変更されたことを意味します。 |
SectorMalfeasance | OLE セクター割り当ての構造的な異常を報告します。 |
StringInvalid | 文字列テーブル内の文字列への参照のいずれかが、負のオフセットを指していました。 |
StringTableNotTerminated | 文字列テーブルが null バイトで終了しませんでした。これにより、実行時に、終了しない文字列による障害が発生する可能性があります。 |
StringTruncated | 文字列テーブル内の文字列への参照のいずれかが、ファイルの最後より後を指していました。 |
SuspiciousPDataSection | この PE は「PDATA」領域に何かを隠していますが、何であるかが不明です。PE ファイルの pdata セクションは一般的に、ランタイム構造の処理に使用されますが、この特定のオブジェクトには他のものが含まれています。 |
SuspiciousRelocSection | この PE は「relocations」領域に何かを隠していますが、何であるかが不明です。PE ファイルの relocations 領域は一般的に、特定のシンボルの再配置に使用されますが、この特定のオブジェクトには他のものが含まれています。 |
SuspiciousDirectoryNames | 悪に関連付けられている OLE ディレクトリ名です。 |
SuspiciousDirectoryStructure | OLE ディレクトリ構造の異常を報告します。 |
SuspiciousEmbedding | OLE の疑わしい埋め込みを報告します。 |
SuspiciousVBA | 疑わしい VBA コードを報告します。 |
SuspiciousVBALib | 疑わしい VBA ライブラリ使用を報告します。 |
SuspiciousVBANames | VBA 構造に関連付けられた疑わしい名前を報告します。 |
SuspiciousVBAVersion | 疑わしい VBA バージョンを報告します。 |
SWFOddity | 埋め込まれた SWF の特定の使用状況を報告します。 |
TooMalformedToProcess | ドキュメントの形式が非常に不正なため、完全には解析できませんでした。 |
VersionAnomaly | このオブジェクトには、バージョン情報の表示方法に関する問題があります。マルウェアには、検出を回避するためにこれがあります。 |
コレクション
これらのインジケータは、データ収集の機能や証拠を示す要素をオブジェクトが持っていることを示します。これには、システム構成の列挙や特定の機密情報の収集が含まれる可能性があります。
項目 | 説明 |
|---|---|
BrowserInfoTheft | このオブジェクトは、ブラウザーキャッシュに保存されているパスワードを読み取る意図の証拠を含んでいます。マルウェアは、これを使用して窃盗のためにパスワードを収集します。 |
CredentialProvider | このオブジェクトは、資格情報プロバイダーとのやり取り、または資格情報プロバイダーのように見せようとする証拠を含んでいます。マルウェアがこれを行うのは、資格情報プロバイダーはユーザー名やパスワードといった多種類の機密データにアクセスできるため、資格情報プロバイダーとして機能することで認証の整合性を妨害できる可能性があるからです。 |
CurrentUserInfoImports | このオブジェクトは、現在ログインしているユーザーに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して特権の昇格経路を特定し、攻撃をより適切に調整します。 |
DebugStringImports | このオブジェクトは、デバッグ文字列の出力に使用される関数をインポートします。通常、これは、本番ソフトウェアでは無効になっていますが、テスト中のマルウェアではオンのままになっています。 |
DiskInfoImports | このオブジェクトは、システム上のボリュームの詳細を収集するために使用できる関数をインポートします。マルウェアは、これを一覧表示と組み合わせて使用して、将来の攻撃に備えてボリュームに関する事実を特定します。 |
EnumerateFileImports | このオブジェクトは、ファイルの一覧表示に使用される関数をインポートします。マルウェアは、これを使用して機密データを探したり、さらなる攻撃ポイントを見つけたりします。 |
EnumerateModuleImports | このオブジェクトは、実行中のプロセスが使用するすべての DLL を一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、プロセス内にロードする特定のライブラリを見つけてターゲットにし、注入しようとするプロセスをマップします。 |
EnumerateNetwork | このオブジェクトは、接続されたネットワークとネットワークアダプタを数え上げる機能の証拠を示しています。マルウェアは、ターゲットシステムが他のシステムに対してある位置を特定し、考えられる横方向のパスを探すためにこれを行います。 |
EnumerateProcessImports | このオブジェクトは、システム上で実行中のすべてのプロセスを一覧表示するために使用できる関数をインポートします。マルウェアは、この機能を使用して、注入するプロセスまたは削除しようとするプロセスを特定します。 |
EnumerateVolumeImports | このオブジェクトは、システム上のボリュームを一覧表示するために使用できる関数をインポートします。マルウェアは、これを使用して、データを検索したり感染を広げたりするのに必要な可能性がある領域をすべて見つけます。 |
GinaImports | このオブジェクトは、Gina へのアクセスに使用される関数をインポートします。マルウェアは、安全な Ctrl-Alt-Del パスワード入力システムまたはその他のネットワークログイン機能に違反しようとして、これを行います。 |
HostnameSearchImports | このオブジェクトは、ネットワーク上のホスト名とマシン自体のホスト名に関する情報を収集するために使用できる関数をインポートします。マルウェアは、この機能を使用して、さらなる攻撃の標的の精度を上げたり、スキャンして新しい標的を探したりします。 |
KeystrokeLogImports | このオブジェクトは、キーボードからキーストロークをキャプチャして記録できる関数をインポートします。マルウェアは、これを使用してキーストロークをキャプチャして保存し、パスワードなどの機密情報を見つけます。 |
OSInfoImports | このオブジェクトは、現在のオペレーティングシステムに関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、さらなる攻撃をより適切に調整する方法を特定し、情報をコントローラーに報告します。 |
PossibleKeylogger | このオブジェクトは、キーロガータイプのアクティビティの証拠を含んでいます。マルウェアは、キーロガーを使用してキーボードから機密情報を収集します。 |
PossiblePasswords | このオブジェクトは、一般的なパスワードを含む証拠があるか、一般的なパスワードの総当たり攻撃を有効にする構造を持っています。マルウェアは、これを使用して、パスワードを介して他のリソースにアクセスすることでネットワークへの侵入を試みます。 |
ProcessorInfoWMI | このオブジェクトは、プロセッサの詳細を特定するために使用できる関数をインポートします。マルウェアは、これを使用して攻撃を調整し、このデータを共通のコマンド&コントロールインフラストラクチャに流出させます。 |
RDPUsage | このオブジェクトは、リモートデスクトッププロトコル(RDP)とのやり取りの証拠を示します。マルウェアは、これを使用して横展開し、直接的なコマンド&コントロール機能を提供することが頻繁にあります。 |
SpyString | アクセシビリティ API の使用を介してクリップボードまたはユーザーアクションをスパイしている可能性があることを示します。 |
SystemDirImports | このオブジェクトは、システムディレクトリの特定に使用される関数をインポートします。マルウェアは、これを行って、インストールされているシステムバイナリの多くがある場所を見つけます。システムディレクトリは、システムバイナリの中に隠れていることが多いためです。 |
UserEnvInfoImports | このオブジェクトは、現在ログインしているユーザーの環境に関する情報を収集するために使用される関数をインポートします。マルウェアは、これを使用して、ログインしたユーザーの詳細を特定し、環境変数から収集できる他のインテリジェンスを探します。 |
データ損失
これらのインジケータは、データの窃盗の機能や証拠を示す要素をオブジェクトが持っていることを示します。これには、送信ネットワーク接続、ブラウザーとして機能している証拠、および他のネットワーク通信が含まれる可能性があります。
項目 | 説明 |
|---|---|
AbnormalNetworkActivity | このオブジェクトは、非標準的なネットワークを実装しています。マルウェアはこれを行って、より一般的なネットワークアプローチの検出を回避します。 |
BrowserPluginString | ブラウザープラグインを列挙またはインストールする機能を示します。 |
ContainsBrowserString | このオブジェクトには、カスタムUserAgent文字列を作成しようとしている証拠が含まれています。マルウェアは、一般的な UserAgent 文字列を使用して、送信される要求での検出を回避することが頻繁にあります。 |
DownloadFileImports | このオブジェクトは、ファイルをシステムにダウンロードするために使用できる関数をインポートします。マルウェアは、これをさらに攻撃を企てる手段としても、送信 URL を介してデータを流出させるための手段としても使用します。 |
FirewallModifyImports | このオブジェクトは、ローカル Windows ファイアウォールの変更に使用される関数をインポートします。マルウェアは、これを使用して穴を開け、検出を回避します。 |
HTTPCustomHeaders | このオブジェクトは、他のカスタム HTTP ヘッダーの作成の証拠を含んでいます。マルウェアは、コマンド&コントロールインフラストラクチャとのやり取りを促進し、検出を回避するためにこれを行います。 |
IRCCommands | このオブジェクトは、IRC サーバーとのやり取りの証拠を含んでいます。マルウェアは一般的に、IRC を使用してコマンド&コントロールインフラストラクチャを促進します。 |
MemoryExfiltrationImports | このオブジェクトは、実行中のプロセスからメモリを読み取るために使用できる関数をインポートします。マルウェアは、これを使用して、自身を注入する適切な場所を決定したり、実行中のプロセスのメモリからパスワード、クレジットカード、その他の機密情報などの有用な情報を抽出したりします。 |
NetworkOutboundImports | このオブジェクトは、データをローカルネットワークまたは一般のインターネットに送信するために使用できる機能をインポートします。マルウェアは、データの窃盗またはコマンド&コントロールの手段としてこれを使用します。 |
PipeUsage | このオブジェクトは、名前付きパイプの操作を可能にする関数をインポートします。マルウェアは、通信およびデータ窃盗の手段としてこれを使用します。 |
RPCUsage | このオブジェクトは、リモートプロシージャコール(RPC)インフラストラクチャとの通信を可能にする関数をインポートします。マルウェアは、これを使用して広がったり、データをリモートシステムに送信して流出させたりします。 |
詐欺
これらのインジケータは、オブジェクトに欺瞞を試みる機能や証拠があることを示す要素をオブジェクトが持っていることを示します。デセプションは、隠されたセクション、検出を回避するためのコード、メタデータやその他のセクションにおける不適切なラベル付けなどの形をとることがあります。
項目 | 説明 |
|---|---|
AddedHeader | ドキュメントが、悪意のある隠れたペイロードの可能性がある、add で難読化された PE ヘッダーを含んでいます。 |
AddedKernel32 | ドキュメントが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、add で難読化された参照を含んでいます。 |
AddedMscoree | ドキュメントが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、add で難読化された参照を含んでいます。 |
AddedMsvbvm | ドキュメントが、msvbvm(VB6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、add で難読化された参照を含んでいます。 |
AntiVM | このオブジェクトは、プロセスが仮想マシンで実行されているかどうかを特定するために使用できる機能を示しています。マルウェアは、一般的になりつつある仮想化されたサンドボックスでの実行を回避するためにこれを行います。 |
AutoitDownloadExecute | AutoIT スクリプトがファイルをダウンロードし、実行できます。これは、悪意のある追加ペイロードを配信するために行われることがよくあります。 |
AutoitObfuscationStringConcat | AutoIT スクリプトが、文字列連結で難読化されている可能性があります。これは、(全体的に)疑わしいコマンドの検出を回避するために行われることがよくあります。 |
AutoitShellcodeCalling | AutoIT スクリプトが CallWindowProc winapi 関数を使用していますが、これはシェルコードの注入を示している可能性があります。 |
AutoitUseResources | AutoIT スクリプトが、スクリプトとともに保存されているリソースデータを使用しています。マルウェアは多くの場合、重要な部分をリソースデータとして保存し、実行時に展開します。したがって、これは疑わしいように見えます。 |
CabinentUsage | このオブジェクトは、CAB ファイルを含んでいる証拠を示しています。マルウェアは、多くの検出システムが認識できないような方法で機密性の高いコンポーネントをパッケージ化するためにこれを行います。 |
ClearKernel32 | ドキュメントが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ClearMscoree | ドキュメントが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ClearMsvbvm | ドキュメントが、msvbvm(VB6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への参照を含んでいます。 |
ComplexInvalidVersion | ドキュメントが、誤った PDF バージョンを宣言しています。 |
ComplexJsStenographySuspected | ドキュメントが、リテラル文字列に隠された JavaScript コードを含んでいる可能性があります。 |
ContainsEmbeddedDocument | このオブジェクトには、オブジェクト内に埋め込まれたドキュメントが含まれています。マルウェアはこれを使用して、攻撃を複数のソースに分散したり、実際の形を隠したりできます。 |
CryptoKeys | このオブジェクトは、埋め込まれた暗号化キーを持っている証拠を含んでいます。マルウェアは、検出を回避するために、そしておそらくはリモートサービス認証としてこれを行います。 |
DebugCheckImports | このオブジェクトは、デバッガのように動作できるようにする関数をインポートします。マルウェアは、この機能を使用して他のプロセスから読み書きします。 |
EmbeddedPE | この PE 内には追加の PE があります。これは通常、ソフトウェアインストールプログラムでのみ見られます。マルウェアは、まず PE ファイルを埋め込んでから、ディスクにドロップして PE を実行することが頻繁にあります。この手法は多くの場合、基礎になっているスキャン技術が理解できない形式でバイナリをパッケージ化して保護スキャナを回避するために使用されます。 |
EncodedDosStub1 | ドキュメントが、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。 |
EncodedDosStub2 | ドキュメントが、悪意のある隠れたペイロードに属している可能性がある難読化された PE DOS スタブを含んでいます。 |
EncodedPE | この PE 内には、追加の PE が隠されています。これは非常に疑わしい行動です。1 つ前と似ていますが、エンコーディング方式を使用して、オブジェクト内のバイナリをさらに隠そうとしています。 |
ExecuteDLL | このオブジェクトは、一般的なメソッドを使用して DLL を実行する機能の証拠を含んでいます。マルウェアは、一般的な検出方法を回避するための手段としてこれを行います。 |
FakeMicrosoft | この PE は、Microsoft によって記述されたと主張していますが、Microsoft PE のようには見えません。マルウェアは一般的に、Microsoft PE になりすまそうとします。目立たないように見えるためです。 |
HiddenMachO | 内部に別の MachO 実行可能ファイルがあります。これは、適切に宣言されていません。これは、ペイロードが容易に検出されないように隠す試みである可能性があります。 |
HTTPCustomUserAgent | このオブジェクトは、ブラウザー UserAgent の操作の証拠を含んでいます。マルウェアは、コマンド&コントロールインフラストラクチャとのやり取りを促進し、検出を回避するためにこれを行います。 |
InjectProcessImports | この PE には、他のプロセスにコードを注入する機能があります。この機能は多くの場合、プロセスが何らかの形で欺瞞を試みているか、敵意を持っていることを意味します。 |
InvisibleEXE | この PE は、見えない状態で実行されるようですが、バックグラウンドサービスではありません。隠れたままになるように設計されている可能性があります。 |
JSTokensSuspicious | ドキュメントが、異常に疑わしい JavaScript を含んでいます。 |
MSCertStore | このオブジェクトは、コア Windows 証明書ストアとのやり取りの証拠を示しています。マルウェアは、資格情報を収集し、不正な鍵をストリームに挿入して、中間者攻撃などのことを促進するためにこれを行います。 |
MSCryptoImports | このオブジェクトは、コア Windows 暗号ライブラリを使用する関数をインポートします。マルウェアは、独自の暗号化を持ち歩かずに済むように、これを使用して、ローカルにインストールされた暗号化を活用します。 |
PDFParserDotDotSlash1URICount | ドキュメントが、「../」など相対パスを使用してパストラバーサルを試みる可能性があります。 |
PDFParserJSStreamCount | ドキュメントが、異常に多くの JavaScript 関連のストリームを含んでいます。 |
PDFParserJSTokenCounts0 cumulativesum | ドキュメントが、異常に多くの JavaScript トークンを含んでいます。 |
PDFParserJavaScriptMagicseval~28 | ドキュメントが、難読化された JavaScript を含んでいる可能性があるか、eval() で動的にロードされた JavaScript を実行できます。 |
PDFParserJavaScriptMagic sunescape~28 | ドキュメントが、難読化された JavaScript を含んでいる可能性があります。 |
PDFParserNamesAllNames Suspicious | ドキュメントが、異常に多くの疑わしい名前を含んでいます。 |
PDFParserNamesObfuscatedNames Suspicious | ドキュメントが、難読化された名前を異常に多く含んでいます。 |
PDFParserPEDetections | ドキュメントが埋め込み PE ファイルを含んでいます。 |
PDFParserSwfObjectsxObservationsx SWFObjectsversion | ドキュメントが、異常なバージョン番号を持つ SWF オブジェクトを含んでいます。 |
PDFParserSwfObjectsxObservation sxSWFObjectsxZLibcmfSWFObjectsx ZLibcmf | ドキュメントが、異常な圧縮パラメーターを持つ SWF オブジェクトを含んでいます。 |
PDFParserjsObjectsLength | ドキュメントが、異常に多くの個別 JavaScript スクリプトを含んでいます。 |
PDFParserswfObjectsxObservations xSWFObjectsxZLibflg | ドキュメントが、異常な圧縮フラグパラメーターを持つ SWF オブジェクトを含んでいます。 |
PE_ClearDosStub1 | ドキュメントが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。 |
PE_ClearDosStub2 | ドキュメントが DOS スタブ(PE ファイルを含むことを示しています)を含んでいます。 |
PE_ClearHeader | ドキュメントが、ドキュメント構造に属していない PE ファイルヘッダーデータを含んでいます。 |
PEinAppendedSpace | ドキュメントが、ドキュメント構造に属していない PE ファイルを含んでいます。 |
PEinFreeSpace | ドキュメントが、ドキュメント構造に属していない PE ファイルを含んでいます。 |
ProtectionExamination | このオブジェクトは、一般的な保護システムを探しているようです。マルウェアは、システムにインストールされている保護システムに合わせた反保護対策を開始するためにこれを行います。 |
SegmentSuspiciousName | セグメントに名前として無効な文字列があるか、標準的ではない異常な名前があります。これは、コンパイル後の改ざんか、packer や難読化ツールの使用を示している可能性があります。 |
SegmentSuspiciousSize | セグメントサイズが、内部のコンテンツ(セクション)の合計サイズと大きく異なります。これは、参照されていない領域の使用、または悪意のあるコードを実行時に展開するための領域の予約を示している可能性があります。 |
SelfExtraction | このオブジェクトは自己解凍型アーカイブのようです。マルウェアは、この戦術を使用して真の意図を難読化することが頻繁にあります。 |
ServiceDLL | このオブジェクトはサービス DLL のようです。サービス DLL は svchost.exe プロセスでロードされるため、マルウェアの一般的な永続手法です。 |
StringJsSplitting | ドキュメントが、疑わしい JS トークンを含んでいます。 |
SWFinAppendedSpace | ドキュメントが、ドキュメント構造に属していない Shockwave flash オブジェクトを含んでいます。 |
TempFileImports | このオブジェクトは、一時ファイルにアクセスし、一時ファイルを操作するために使用される関数をインポートします。一時ファイルは検出を回避できる傾向があるため、マルウェアはこれを行います。 |
UsesCompression | このオブジェクトには、圧縮されているように見えるコード部分があります。マルウェアは、この手法を使用して検出を回避します。 |
VirtualProtectImports | このオブジェクトは、実行中のプロセスからメモリを変更するために使用される関数をインポートします。マルウェアはこれを使用して、実行中のプロセスに自身を注入します。 |
XoredHeader | ドキュメントが、悪意のある隠れたペイロードの可能性がある、xor で難読化された PE ヘッダーを含んでいます。 |
XoredKernel32 | ドキュメントが、kernel32.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
XoredMscoree | ドキュメントが、mscoree.dll(悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
XoredMsvbvm | ドキュメントが、msvbvm(VB6 用にコンパイルされた、悪意のあるペイロードによって使用される可能性があるライブラリ)への、xor で難読化された参照を含んでいます。 |
破壊
これらのインジケータは、破壊の機能や証拠を示す要素をオブジェクトが持っていることを示します。破壊的な機能には、ファイルやディレクトリなど、システムリソースを削除する機能が含まれます。
項目 | 説明 |
|---|---|
action_writeByte | ドキュメント内の VBA スクリプトが、ファイルにバイトを書き込んでいる可能性があります。これは、正規のドキュメントでは異常な動作です。 |
action_hexToBin | ドキュメント内の VBA スクリプトが、16 進数から 2 進数への変換を使用していると思われます。これは、悪意のある隠れたペイロードのデコードを示している可能性があります。 |
appended_URI | ドキュメントが、ドキュメント構造に属していないリンクを含んでいます。 |
appended_exploit | ドキュメントが、疑わしいデータをドキュメント構造外に含んでいます。これは、エクスプロイトを示している可能性があります。 |
appended_macro | ドキュメントが、ドキュメント構造に属していないマクロスクリプトを含んでいます。 |
appended_90_nopsled | ドキュメントが、ドキュメント構造に属していない nop スレッドを含んでいます。これはほぼ確実に、エクスプロイテーションを促進する目的で存在します。 |
AutorunsPersistence | このオブジェクトは、永続性の一般的な手法(起動スクリプトなど)とのやり取りを試みます。マルウェアは一般的に、永続性を実現するためにこの戦術を使用します。 |
DestructionString | シェルコマンドを介してプロセスを強制終了したり、マシンをシャットダウンしたりする機能があります。 |
FileDirDeleteImports | この PE は、ファイルまたはディレクトリを削除するために使用できる関数をインポートします。マルウェアは、これを使用してシステムを破壊し、痕跡を隠します。 |
JsHeapSpray | ドキュメントが、ヒープスプレーコードを含んでいる可能性があります。 |
PossibleLocker | このオブジェクトは、一般的なツールをポリシーごとにロックアウトしようとしている証拠を示しています。マルウェアは、永続性を維持し、検出とクリーンアップをより困難にするためにこれを行います。 |
RegistryManipulation | このオブジェクトは、Windows レジストリを操作するために使用できる関数をインポートします。マルウェアは、永続性を実現し、検出を回避するなど、多くの理由でこれを行います。 |
SeBackupPrivilege | この PE は、アクセスが許可されていないファイルの読み取りを試みる可能性があります。SeBackup 権限では、アクセス制御に関わりなくファイルにアクセスできます。この権限は、バックアップを処理するプログラムによって頻繁に使用され、多くの場合は管理ユーザーに限定されています。ただし、他の方法では困難かもしれない特定の要素へのアクセスを得るために悪意を持って利用される可能性もあります。 |
SeDebugPrivilege | この PE は、システムプロセスの改ざんを試みる可能性があります。SeDebug 権限は、自分のプロセス以外のプロセスにアクセスするために使用され、多くの場合は管理ユーザーに限定されています。この権限は、他のプロセスへの読み書きと組み合わされることがよくあります。 |
SeRestorePrivilege | この PE は、アクセスが許可されていないファイルの変更または削除を試みる可能性があります。SeBackup と対になる SeRestore 特権では、アクセス制御を考慮せずに書き込むことができます。 |
ServiceControlImports | このオブジェクトは、現在のシステムで Windows サービスを制御できる関数をインポートします。マルウェアは、これを使用して、自身をサービスとしてインストールすることによりバックグラウンドで起動したり、保護機能が存在する可能性のある他のサービスを無効にしたりします。 |
SkylinedHeapSpray | ドキュメントが、変更されていないバージョンの skylined ヒープスプレーコードを含んでいます。 |
SpawnProcessImports | この PE は、別のプロセスを生成するために使用できる関数をインポートします。マルウェアはこれを使用して、感染の次の段階(通常はインターネットからダウンロード)を開始します。 |
StringJsExploit | ドキュメントが、エクスプロイテーションを行えると思われる JavaScript コードを含んでいます。 |
StringJsObfuscation | ドキュメントが、JavaScript 難読化トークンを含んでいます。 |
TerminateProcessImports | このオブジェクトは、実行中のプロセスを停止するために使用できる関数をインポートします。マルウェアはこれを使用して、保護システムを削除したり、実行中のシステムに損害を与えたりします。 |
trigger_AutoExec | ドキュメント内の VBA スクリプトが、自動的に実行されようとしている可能性があります。 |
trigger_AutoOpen | ドキュメント内の VBA スクリプトが、ドキュメントが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_Document_Open | ドキュメント内の VBA スクリプトが、ドキュメントが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_DocumentOpen | ドキュメント内の VBA スクリプトが、ドキュメントが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_AutoExit | ドキュメント内の VBA スクリプトが、ドキュメントを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_AutoClose | ドキュメント内の VBA スクリプトが、ドキュメントを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_Document_Close | ドキュメント内の VBA スクリプトが、ドキュメントを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_DocumentBeforeClose | ドキュメント内の VBA スクリプトが、ドキュメントが閉じる直前に自動的に実行されようとしている可能性があります。 |
trigger_DocumentChange | ドキュメント内の VBA スクリプトが、ドキュメントが変更されるときに自動的に実行されようとしている可能性があります。 |
trigger_AutoNew | ドキュメント内の VBA スクリプトが、新しいドキュメントが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_Document_New | ドキュメント内の VBA スクリプトが、新しいドキュメントが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_NewDocument | ドキュメント内の VBA スクリプトが、新しいドキュメントが作成されるときに自動的に実行されようとしている可能性があります。 |
trigger_Auto_Open | ドキュメント内の VBA スクリプトが、ドキュメントが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_Workbook_Open | ドキュメント内の VBA スクリプトが、Excel ブックが開かれたらすぐに実行されようとしている可能性があります。 |
trigger_Auto_Close | ドキュメント内の VBA スクリプトが、ドキュメントを閉じるときに自動的に実行されようとしている可能性があります。 |
trigger_Workbook_Close | ドキュメント内の VBA スクリプトが、Excel ブックを閉じるときに自動的に実行されようとしている可能性があります。 |
UserManagementImports | このオブジェクトは、ローカルシステムのユーザーを変更するために使用できる関数をインポートします。鍵ユーザーの詳細を追加、削除、または変更できます。マルウェアはこの機能を使用して、永続性を実現したり、ローカルシステムに害を与えたりする可能性があります。 |
VirtualAllocImports | このオブジェクトは、実行中のプロセスでメモリを作成するために使用される関数をインポートします。マルウェアは、実行中のプロセスに自身を注入するためにこれを行います。 |
シェルコード
ソフトウェア脆弱性のエクスプロイトでペイロードとして使用される小さなコードを示します。通常は、侵害されたマシンを攻撃者が制御する元となる可能性があるコマンドシェルを起動するため、「シェルコード」と呼ばれていますが、同様のタスクを実行するコードはすべてシェルコードと呼ばれる可能性があります。
項目 | 説明 |
|---|---|
ApiHashing | ドキュメントが、メモリにロードされているライブラリ API を密かに見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
BlackholeV2 | ドキュメントが、Blackhole exploit kit からのものであるように見えます。 |
ComplexGotoEmbed | ドキュメントが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。 |
ComplexSuspiciousHeaderLocation | PDF ヘッダーがゼロ以外のオフセットに配置されています。これは、このドキュメントが PDF ドキュメントとして認識されないようにしようとする試みを示している可能性があります。 |
EmbeddedTiff | ドキュメントが、エクスプロイテーションを促進する nop スレッドを含む、巧みに作成された TIFF 画像を含んでいる可能性があります。 |
EmbeddedXDP | ドキュメントが、xml(XDP)として別の PDF を含んでいる可能性があります。 |
FindKernel32Base1 | ドキュメントが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FindKernel32Base2 | ドキュメントが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FindKernel32Base3 | ドキュメントが、メモリ内の kernel32.dll を見つけようとするシェルコードのように見えるバイトシーケンスを含んでいます。 |
FunctionPrologSig | ドキュメントが、典型的な関数プロローグ(シェルコードを含んでいる可能性が高い)であるバイトシーケンスを含んでいます。 |
GetEIP1 | ドキュメントが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。 |
GetEIP4 | ドキュメントが、メモリ内の他のものを見つけてエクスプロイテーションを促進するために自身のアドレスを解決するシェルコードのように見える、バイトシーケンスを含んでいます。 |
IndirectFnCall1 | ドキュメントが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
IndirectFnCall2 | ドキュメントが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
IndirectFnCall3 | ドキュメントが、間接的な関数呼び出し(シェルコードの可能性が高い)のように見えるバイトシーケンスを含んでいます。 |
SehSig | ドキュメントが、構造化例外処理(シェルコードを含んでいる可能性が高い)に典型的なバイトシーケンスを含んでいます。 |
StringLaunchActionBrowser | ドキュメントが、ブラウザーに特定のアドレスへの移動やアクションの実行を強制できる可能性があります。 |
StringLaunchActionShell | ドキュメントが、シェルアクションを実行できる可能性があります。 |
StringSingExploit | ドキュメントが、エクスプロイトを含んでいる可能性があります。 |
その他
前述のカテゴリに適合しないすべてのインジケータ。
項目 | 説明 |
|---|---|
AutoitFileOperations | AutoIT スクリプトが、ファイルに対して複数のアクションを実行できます。これは、情報収集、永続姓、または破壊に使用される場合があります。 |
AutorunString | 自動実行メカニズムを使用して永続性を実現する機能を示します。 |
CodepageLookupImports | このオブジェクトは、実行中のシステムのコードページ(場所)を検索するために使用される関数をインポートします。マルウェアはこれを使用して、特定のグループをより適切にターゲット設定するために、システムが実行されている国/地域を識別します。 |
MutexImports | このオブジェクトは、ミューテックスオブジェクトを作成および操作する関数をインポートします。マルウェアは頻繁にミューテックスを使用して、システムへの複数回の感染を回避します。 |
OpenSSLStatic | このオブジェクトは、検出されないようにコンパイルされた OpenSSL のバージョンを含んでいます。マルウェアは、強力な証拠を残さずに暗号化保存機能を含めるためにこれを行います。 |
PListString | OS によって使用されるプロパティリストとやり取りする機能を示します。これは、永続性を実現したり、さまざまなプロセスを妨害したりするために使用される場合があります。 |
PrivEscalationCryptBase | このオブジェクトは、CryptBaseを使用して特定の権限の昇格を使用しようとした証拠を示しています。マルウェアはこれを使用して、影響を受けるシステムでの権限を強くします。 |
ShellCommandString | 偵察、特権の昇格、またはデータ破壊に機密性の高いシェルコマンドを使用する機能を示します。 |
SystemCallSuspicious | システムおよび他のプロセスを監視および/または制御し、デバッグのようなアクションを実行する機能を示します。 |