ステルス型マルウェア
ステルス型マルウェア とは何ですか?
ステルス型マルウェア隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ステルス型マルウェアは、ファイルやプロセスを隠す API フック、整合性チェックの妨害、サンドボックス/VM 検出、アンチデバッグ、コード難読化、LOLBins の悪用、タイムスタンプ書き換え、稼働後のログ消去など、多数の回避技術を組み合わせる。ルートキット、上位のバンキング型トロイ、APT インプラント、多くのランサムウェア用ローダなどがこのカテゴリに含まれる。検知にはカーネル可視性のある EDR、メモリフォレンジック、ネットワーク解析、MITRE ATT&CK 等 TTP に基づくスレットハンティング、改ざん不能な外部監査ログが必要となる。対策としてはセキュアブート、署名済みドライバ、最小権限、プロアクティブなハンティングによる滞留時間の短縮などが挙げられる。
● 例
- 01
Windows API から自身のファイルを隠す TDL/TDSS ルートキット。
- 02
サンドボックスを検出し EDR フックを外す Cobalt Strike Beacon 構成。
● よくある質問
ステルス型マルウェア とは何ですか?
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。 サイバーセキュリティの マルウェア カテゴリに属します。
ステルス型マルウェア とはどういう意味ですか?
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ステルス型マルウェア からどのように防御しますか?
ステルス型マルウェア に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ステルス型マルウェア の別名は何ですか?
一般的な別名: 回避型マルウェア, 反フォレンジック型マルウェア。