-
RAT 攻撃:ソース コードが流出した RAT を使用して PC へ侵入する
脅威リサーチOrcus RAT と RevengeRAT は、攻撃で多用されている 2 種類のリモート アクセス型トロイの木馬(RAT)です。RevengeRAT は 2016 年に登場して以来、世界中の組織や個人を狙った攻撃で幅広く使用されてきました。RevengeRAT に関連するソース コードは以前に一般公開されたことで、悪意のある目的で攻撃者に利用されています。
続きを読む -
注目の調査:ROPMEMU – 複雑なコード再利用攻撃の解析用フレームワーク
脅威リサーチこの投稿の執筆者:Mariano Graziano 概要 ここ数年、攻撃の手法はますます複雑化しています。優れた防御策が出現すれば、攻撃者はそれを回避しようとシステム侵害の戦術を変更します。そうしたことの繰り返しにより、脅威は常に進化し、複雑な攻撃手法が現れるようになりました。リターン指向プログラミング(ROP:Return-Oriented Programming)に代表されるコード再利用攻撃はこのような進化の一端です。これまで詳細に調査されてこなかった領域のため、防御側にとっての 1 つの課題として近年注目されています。Talos はこのたび、この複雑なコード再利用攻撃を解析するためのフレームワークとして、ROPMEMU をリリースしました。本ブログ記事では、コード再利用のインスタンスをリバース エンジニアリングする際の課題を挙げ、その重要性について説明します。また、こうした攻撃を詳細に分析し、解析過程をシンプルにするための手法とフレームワークの構成についても提示します。 コード再利用攻撃は、目新しいものでも珍しいものでもありません。1997 年に ret2libc 攻撃が初めて明らかになって以来存在し続けています。それ以来、ソフトウェアやハードウェアによる防御策が充実し、コード インジェクションなどの攻撃を成功させるのが難しくなってくるにつれ、攻撃者はこのコード再利用攻撃に重点を置くようになってきました。防御策が改善されると、それを回避するためのより複雑な攻撃手法が開発されます。近年ではマルウェアの作成者も、悪意のある機能を隠蔽し、解析から逃れるために、リターン指向プログラミング(ROP)を取り入れ始めました。ROP になじみがなく、詳細を知りたい方は、Shacham の論文
続きを読む