こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

解決済みの質問

偽セキュリティが動く条件

malwaredomainlist のリストから

写真のモノを落としてきて 実行しました。

しかし 実行しても Ransomウエアは動きませんでした。
Javaも いま手に入るバージョンで入れてみたけど 動きませんでした。
画面が 少しの間 消えたりはしたけど。
JavaやReaderが古くないと 動かないのでしょうか?


あとひとつ
zeustracker.abuse.ch にあるDownloadボタンのファイルは 無害でしょうか?

入れてみたら ブラウザなど プログラムを起動すると
エラー音が鳴るようにはなったけど とくに変なことはおきませんでした。
ここのファイルは 挙動を 音が鳴るように
無害化したサンプルってことでは ないんでしょうか?


分かる方いたら 回答おねがいします。

投稿日時 - 2013-09-27 01:16:14

QNo.8281324

困ってます

質問者が選んだベストアンサー

こんにちは。

私もマルウェアに興味を持ち、Ransomウェアもいくつか持っています。私も対策ソフトの試験で使います。私がDLしてきたサイトはあるクラッカーサイトで、そこは別途ランサムウェアだけのセクションがありました。他にはExploitセクションとかいろいろありましたw。


>JavaやReaderが古くないと 動かないのでしょうか

ドライブバイダウンロードのパターンを試す場合だとそうだと思います。それと他の方が言ってるように、セッション管理がされてるので、Malware Domain Listに載ってるサイトにいきなりアクセスしても失敗するケースのほうが多いです。要するにあらかじめ想定されてるシーケンスを辿っていないので弾かれてしまう。パラメータの値が想定どおりになっていないからです。セッションコントロールと言います。ここOKWaveでも当然セッション管理は行われています。


>ZeusTruckerのBotと思われるものが怖いと思った。

あそこに載ってるのはボットのC&Cサーバーの所在地ですね。C&CというのはCommand & Controlです。

>実行して1秒で ファイルが消え


Melt機能ですよね。


> Explore か Svchost として通信し続けてる感じのもの


これはProcess Memory Injectionとか言われるものだと思います。


私が仕入れてきたランサムの中にもFBIなんたらとかいうのありました。とにかく画面がロックされて何も操作効かなくなってしまいました。

投稿日時 - 2013-09-29 13:18:41

お礼

>私も対策ソフトの試験で使います。
No1の方も書かれてますが、対策ソフトの試験とかは自分には出来ません。
どちらかというとUpdateせずセキュリティ無しで稼動してます。
というのもRansomって JavaかReader あるいは両方が大元のように感じてるからです。

逆にこれらを入れないで 動くのか?という点も知りたい、
そこが質問の「動く条件」なわけです。
もし動いたら どのように動くのか?を見てみたいから入れてみたのですね。

過去に1度だけ見たときは
PCの使用状況として、大まかですが
2002年のPCを2005~6年に中古で使用してて
Javaが何か知らず 元からPCにあったから入れなきゃいけないと思い
入れたままUpdateもしてませんでした。
FlashもUpdateは 1~2ヶ月に1度くらいだったかもしれません。
こんな状況で1度しか見たことないです。


>あそこに載ってるのはボットのC&Cサーバーの所在地ですね。
Command & Controlの意味は分かってないですが
悪意あるものが まず こういった場所へ何かを設置してから
そこからBot感染を多数のコンピュータへ広めている。という認識でよいのでしょうか?。

>これはProcess Memory Injectionとか言われるものだと思います。
元あるプロセスに割り込むみたいな認識でいいでしょうか?。
作成されたファイルと レジストリのRun登録を削除しても
通信はし続けているので メモリで展開されているのかなということはわかりました。
ログインしなおすと 出てきませんでした。

>画面がロックされて何も操作効かなくなってしまいました。
これをみたかったです。別PCでHDD繋いで どのような物が作成されるのかも。
わりとファイル数なんかは少ないんじゃないでしょうかね。

投稿日時 - 2013-09-29 19:41:54

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

回答(3)

#2です。


追記です。オンラインの動的解析サービス3つほど。


https://malwr.com/submission/

http://www.threatexpert.com/submit.aspx

http://anubis.iseclab.org/

投稿日時 - 2013-09-29 13:38:06

お礼

ありがとうございました。

質問をしめきりますね。

投稿日時 - 2013-10-04 07:06:47

ANo.1

>画面が 少しの間 消えたりはしたけど。


なら、動いたことになるんではないでしょうか。

当方はクラッカーコミュニティーから仕入れてきたランサムウェア20個ほど持ってますけどすべて動きますね。対策ソフトのテスト用で使います。

実際にそのプログラムがどういったアクティビティーを示すかを調べるならオンラインの動的解析サービスを使う手もありますね。それぐらい知ってるでしょ?


>JavaやReaderが古くないと 動かないのでしょうか?


Drive by Downloadを試すなら頭を使わないと無理ですね。最近ではセッション管理が行われていますから。複数のパラメータを使っていることがほとんどで、すべてのパラメータが想定どおりの値になっていないと次に進まないようになっています。攻撃者は当然ながらセキュリティーベンダの調査とか警戒してますから。


>zeustracker.abuse.ch にあるDownloadボタンのファイルは 無害でしょうか?


DLボタンは無いようですけど?




あの、あなたのこれまでのいろいろな投稿を拝見致しましたが、ちょこちょこっとネットなどで見聞きした程度ではスキルなんて身につかないですよ。

投稿日時 - 2013-09-27 16:09:46

お礼

>なら、動いたことになるんではないでしょうか。

動こうとして 停止した。 感じでした。
写真のモノに関しては 通信とかはしてるようには思えませんでした。


>オンラインの動的解析サービスを使う手もありますね。それぐらい知ってるでしょ?
これの使い方がわかりません。


>ランサムウェア20個ほど持ってますけどすべて動きますね。対策ソフトのテスト用で使います。
この場合は Java や Adobeリーダーを入れているのでしょうか?

偽セキュリティは 1度しか見たことないので、たぶん見ることはないかと思ってます。
昔と違って Javaが何かも知らず Updateしないまま入れておくなんてこと今はないしね。

ZeusTruckerのBotと思われるものが怖いと思った。
実行して1秒で ファイルが消え 3秒ていどプロセスに現れて消え
それ以降 Explore か Svchost として通信し続けてる感じのもの。
検査するとFBIマネーパックとかいう名前で検出された。
これに関しては ユーザーフォルダ内とか見ない人には気づくこと難しいでしょうね。

偽セキュリティに関しては 勝手に出てくれって感じですねw
むしろ面白いと思い 見てみたいとは思うけど。

投稿日時 - 2013-09-29 03:38:27

あなたにオススメの質問