Morleyのブログ一覧

未検出マルウェアを作るには。

パッカー、クリプター、プロテクターをうまく組み合わせれば素人でも変種の未検出マルウェアを作ることができる。
未検出マルウェアの5割はこうやって生産されている。

どんなすごいセキュリティーソフトでも、マルウェアを検出できないことはあるし、FUDマルウェア（どのソフトでも検出されないマルウェアのこと）だって多数存在します。

要するにどんなソフトでも完璧に防げるということはありえないと言っています。

実際にESET＋yaraiでもMcAfee未検出検体2000体テストを行ったとき、1987体しか検出できなかったし、Kaspersky単体だと198体しか検出できませんでした。

【McAfee未検出検体2000体テストの検出結果】
ESET＋yarai→1987体
Kaspersky単体→198体
ノートン単体→1397体
ESET単体→1593体
ウイルスセキュリティZERO単体→121体
MicrosoftDefender単体→168体
ノートン＋yarai→1952体
MicrosoftDefender＋yarai→1971体

サンドボックス上で自動で仮想実行してマルウェア判定を行っています。
間違えなく2000体ともマルウェアでした。
おそらくは今回使った検体ではESET＋yaraiが最高記録ではないでしょうか。

VirusTotalとかでスキャンすれば良いんでしょうけれど、自動プログラムを組んでいないんで時間がかかるため、やりませんでした。

一応、私が作ったファイル暗号化マルウェアもスキャン対象にしていましたが、どれも検出していませんでした。
今のところ、VirusTotal上ではFUDです。
ちなみに、暗号化されたら、私でも解除できません。
なぜならば、パスがランダムな256文字の大文字・小文字・数字・記号を含む文字列で記録していないからです。
AESとBlowfishが破れる人なら解けるかもしれません。
そんなやつ、今まで聞いたことないけれど。
これをアップロードしたら捕まるので、アップロードはごめん遊ばせ。

ハニーポットとは、ウェブ上の攻撃者からみて攻撃しやすくなっている仮想システムのことで一種の囮です。
10台ハニーポットを実稼働させてマルウェアを取得していますが、攻撃者側も対策しており、思うように引っかかってくれなくなっています。
いくつかのアプリを実行させて、囮空間を演出していますが、ちょっと工夫することで攻撃者が攻撃を仕掛けてくれるようになりました。
攻撃者にとって非常に都合の良いようにほとんどセキュリティーパッチを当てていない環境を実装して、攻撃しやすいように工夫してみました。
来るわくるわの攻撃地獄。
マルウェアが100体以上ゲットできてしまいます。

ゲットした未検出の新種や変種の検体はESETに送信して、対応してもらうことにしています。

すごいと思うのはyarai。
未検出（McAfeeにて）のマルウェア2000体を使ったテストでMicrosoftDefender＋yaraiの組み合わせで98.57％のマルウェアが防げてしまいます。

ちょっと出かけなければならないので、また後で。

訳あって、KasperskyからESETとMcAfeeへセキュリティーソフトを変更しました。

スマホとサブパソコンはMcAfeeに変更、メインパソコンはESET＋yaraiに変更しました。

最近になってKaspersky側の仕様変更で新種や変種のマルウェアを受け付けてくれなくなりました。
これでは、全くKasperskyを使用している意味がありません。

McAfeeは、10台まで1ライセンスで包括保護が可能なので、スマホとサブパソコンは、McAfeeにしました。
メインパソコンは、少しでも強いセキュリティーを実現したいということで、ESET＋yaraiという組み合わせにしています。

検体提出可能なのがESETのみなので、現時点ではこのセキュリティーでやっていこうと思います。

検体提出のプログラムも書き換え直して、検体をESETへ提出するようにせざるを得ませんでした。
Kasperskyのような速さはないもののESETは地道に対応してくれるので信頼はできます。

ただ、嫁いでいった妹は今まだKasperskyをつかっていて、そのままKasperskyにしてほしいとのことだったので、Kasperskyをインストールしておこうと思います。

McAfeeは、TORを誤検出してしまうので、TORを使うときはESETなどを使う必要があります。

TOR上のマルウェアフォーラムをクローラー（bot）で巡回させて、ほぼ自動でマルウェアを取得するプログラムを組んでいるので、そのクローラーパソコンにはMcAfeeを使えないので、MicrosoftDefender＋yaraiをセキュリティーソフトとしてインストールしています。
取得したマルウェアはサンドボックス上でESETに対する検体提出処理をされ、検体提出されます。

最近、yaraiもアップデートされたので、以前より強固なセキュリティーが実現されたようです。
（ウェブ上のマルウェア定義にアクセスする機能が付加されました。）

Kasperskyの検出率が悪くなったわけではないのであしからず。
（現時点ではKasperskyの検出率は高い方です。）

ETCカードは熱に弱く、車内に放置していたら駄目になってエラーが起こるようになる。

普段、メインのETCカードをアクアに挿しっぱなしにしていた。
ある時、ETCカードが突然読み込めなくなって、エラーが起こった。
トヨタの純正のETC車載器は優秀なので、高速に乗る前に気づくことができた。
というかそれが一般的な車載器の当たり前の反応なのだろうか。
今は、サブのETCカードを使っているところだ。
サブのETCカードは、問題なく使えたので車載器の異常はないようだ。

ETCカードを挿しっぱなしにするのは駄目なようだ。
勉強になった。
再発行手続きをしており、今日か明日中には簡易書留で届く予定だ。

サブのETCカードは、7枚あってどれを使おうか迷ってしまうぐらいだ。
クレジットカードで無料でETCカードが作れるものに関して全てETCカードを作成していたら、サブが7枚になった。

メインはAmazon Prime MastercardのETCカードを使っていて、サブは適当に気分で選んでいる。
今日はメインが使えなかったので、サブのイオンカードのETCカードを使った。
ただ、マイレージサービスに登録されているのはメインのETCカードだけなので、ちょっとマイレージポイントを損した感じはある。

なんにせよ、車内にETCカードを挿しっぱなしにするのは駄目だ。

私は、何度か高速道路で特別転回を使っている。

自分の降りたいICを過ぎてしまったとき、次の人のいる一般ゲートのあるICで特別転回できる。
そうすれば、行きたいICまで戻ることができる。

一般ゲートのおじさんに「特別転回をお願いします。」といえば対応してくれる。
間違えて次のICに進んでもなんとかなるという制度だ。

間違えてしまった場合は、特別転回をお忘れなく。

ただし、15分ぐらい時間はロスします。