マルウェアのコールバック

本日、マルウェア コールバックの初めての分析をリリースしました。

FireEye は、感染した数十万のエンタープライズ ホストで指示 (またはコールバック) を求める 1,200 万件を超えるマルウェア通信を監視し、2012 年の間に高度な攻撃とより一般的な種類の攻撃の詳細をキャプチャしました。コールバック アクティビティは、攻撃者の意図について多くのことを明らかにします。 、興味、地理的位置。サイバー攻撃は、広範囲にわたる世界的な活動です。世界中のマルウェアの存在を強調するインタラクティブ マップを作成しました: http://www.fireeye.com/cyber-attack-landscape/ .

主な調査結果:

  1. マルウェアは多国籍活動になっています。過去 1 年間で、コールバックは 184 か国のコマンド アンド コントロール (CnC) サーバーに送信されました。これは、2010 年の 130 か国と比較して 42% の増加です。
  2. アジアと東ヨーロッパの 2 つの主要な地域が、高度なサイバー攻撃を引き起こしているホットスポットとして際立っています。国別の 1 社あたりの平均コールバック数を見ると、中国、韓国、インド、日本、香港のアジア諸国が 24% を占めています。ロシア、ポーランド、ルーマニア、ウクライナ、カザフスタン、ラトビアの東ヨーロッパ諸国が 22% を占めています。 (北米が 44% を占めていましたが、これは攻撃者の回避を支援するために米国にある CnC サーバーによるものです。)
  3. Advanced Persistent Threat (APT) のコールバック アクティビティの大部分は、中国製または中国のハッカー グループによる APT ツールに関連しています。 FireEye Malware Intelligence Lab は、既知の APT マルウェア ファミリの DNA をコールバックに対してマッピングすることにより、APT コールバック アクティビティの大部分 (89%) が、中国製または中国のハッカー グループから発信された APT ツールに関連していることを発見しました。主なツールは Gh0st RAT です。
  4. 攻撃者は、標的が存在するのと同じ国内のサーバーに初期コールバックを送信することが増えています。回避を改善するために、ハッカーはますます標的となる国に CnC サーバーを配置しています。同時に、この事実は、どの国が攻撃者にとって最も興味深いかを示す強力な指標となります。
  5. テクノロジー企業は、APT コールバック アクティビティの発生率が最も高くなっています。大量の知的財産を保有するテクノロジー企業は、当然のことながら攻撃者の標的となり、大量の APT マルウェア アクティビティを経験しています。
  6. APT 攻撃の場合、CnC サーバーは 66% の時間、米国でホストされていました。これは、依然として米国が攻撃の最大の標的国であることを示しています。前述のように、攻撃者は検出を回避するために標的国に CnC サーバーを配置することが増えています。 CnC サーバーの割合が非常に高いため、米国はマルウェア攻撃の割合が最も高くなります。これはおそらく、米国に存在する知的財産とデジタル化されたデータが非常に集中しているためです。
  7. コールバック通信を偽装する技術は進化しています。検出を回避するために、CnC サーバーは、感染したマシンとの通信に Facebook や Twitter などのソーシャル ネットワーキング サイトを利用しています。また、盗み出されたコンテンツを隠すために、攻撃者は JPG などの一般的なファイル内に情報を埋め込み、ネットワーク スキャン ツールに通常のトラフィックの印象を与えます。
  8. 攻撃パターンは世界的に大きく異なります
    1. 韓国の企業は、組織あたりのコールバック コミュニケーションのレベルが最も高くなっています。堅牢なインターネット インフラストラクチャにより、韓国は、サイバー犯罪者が CnC インフラストラクチャをホストするための肥沃な場所として浮上しています。たとえば、FireEye は、テクノロジー企業からのコールバックが韓国に向かう可能性が最も高いことを発見しました。
    2. 日本では、コールバックの 87% が発信され、国内にとどまりました。これは、日本の知的財産の価値の高さを示しているのかもしれません。
    3. カナダでは、コールバックの 99% が国外から送信されました。英国では、離脱率は 90%でした。高い終了率は、攻撃者が検出を気にしていないことを示しています。カナダと英国では、攻撃者は検出に関心がなく、日和見的に容易に達成できる成果を追求しているようです。

参照: https://www.mandiant.com/resources/blog/malware-callbacks

Comments

タイトルとURLをコピーしました