マルウェア
ステルス型マルウェア
別称: 回避型マルウェア, 反フォレンジック型マルウェア
定義
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ステルス型マルウェアは、ファイルやプロセスを隠す API フック、整合性チェックの妨害、サンドボックス/VM 検出、アンチデバッグ、コード難読化、LOLBins の悪用、タイムスタンプ書き換え、稼働後のログ消去など、多数の回避技術を組み合わせる。ルートキット、上位のバンキング型トロイ、APT インプラント、多くのランサムウェア用ローダなどがこのカテゴリに含まれる。検知にはカーネル可視性のある EDR、メモリフォレンジック、ネットワーク解析、MITRE ATT&CK 等 TTP に基づくスレットハンティング、改ざん不能な外部監査ログが必要となる。対策としてはセキュアブート、署名済みドライバ、最小権限、プロアクティブなハンティングによる滞留時間の短縮などが挙げられる。
例
- Windows API から自身のファイルを隠す TDL/TDSS ルートキット。
- サンドボックスを検出し EDR フックを外す Cobalt Strike Beacon 構成。
関連用語
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
ポリモーフィック型マルウェア
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
ファイルレスマルウェア
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
Anti-Forensics
Anti-Forensics — definition coming soon.
Advanced Persistent Threat (APT)
Advanced Persistent Threat (APT) — definition coming soon.
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。