慎重な調査
犯罪者が侵害行為を実施しようとするとき、その対象環境について念入りに調査してから進めます。
もはや攻撃行為は面白いからやっているものではありません。ビジネスです。
経費の効率化、時間の効率化が必要です。
攻撃しても無駄な対象に対してリソースは消費しません。
いまどきのマルウェアは回避行動がいろいろと実装されています。
そのなかには、こういうものがあります。
- そのPCが仮想環境なのかどうかを確認する
仮想環境だった場合、調査用環境の可能性があるので、マルウェア活動は開始しません - そのPCが必要十分な脆弱さを持っているかを確認する
侵害するには何か条件が必要です
脆弱性を悪用した実装なのであれば、脆弱性が必要なのでその存在を確認します
古いフラッシュがあるか、アンチウイルスソフトウェアが更新されているか、などを確認します - そのPCにモニターが接続されているのかを確認する
普通のPCならモニターが必要です
モニターのないPCは調査用環境かもしれません
調査用環境では悪事は開始しません - ユーザエージェントを確認する
そのPCがその攻撃者にとってターゲットとしている環境であるのかの確認のため、ブラウザのユーザエージェントを確認します
こういった動きによって、効率的に攻撃が成り立つことを狙いますし、解析されることを回避しようとします。
攻撃者の準備は日々変更され追加されています。
安全を維持するためには、わたしたちも継続的に改善を継続することが必要だと思われます。
参考記事(外部リンク):Royal Mail phish deploys evasion tricks to avoid analysis
blog.malwarebytes.com/scams/2021/05/royal-mail-phish-deploys-evasion-tricks-to-avoid-analysis/
