VB2011講演(その2)

仮想環境でのセカンドライフ:単純なソーシャル活動から機密情報の暴露まで - Sabina Raluca Datcu

Sabinaは、セキュリティに関心のある人がソーシャルネットワークでどの程度の情報公開を行うかについて調査を行いました。

この調査を行うために、彼女はハッキングコミュニティから50人、ITセキュリティ業界から50人を抽出し、両方のグループが同じ程度の関心を寄せるような偽の女性プロファイルを作成しました。彼女が時間をかけて100人すべてに何回も連絡をとったところ、100人すべてが何らかの個人情報を彼女に提供しました。提供された個人情報には、母親の姓、住所、使用しているパスワードの種類(!)、こどもに関する情報などがありました。調査の結果、私たちすべての人が、ソーシャルエンジニアリングの被害を受けやすいことがわかりました。

個人的には調査に非常に興味を持ちましたが、調査方法に疑問を感じました。

  1. 50人のグループ2つだけでは十分な調査と言えません(Sabina自身が資料で告白しています)。ただし、人数が多くなると、彼女はすべての人と会話することができなかったでしょう。
  2. ITセキュリティ業界の人とハッカーとの間の境界があいまいです。彼女は、サイバー犯罪者や地下組織のグループをハッカーと見なしていたように思われます。
  3. 実際には、Sabinaは同じグループ内の人々と連絡をとるのに同じアカウントを使用していましたが、当然のことながら、会話の内容は同じではありませんでした。しかも、人はまったく同じ仮想上の人と比較できるはずがありません。したがって、すべての人がソーシャルエンジニアリングの被害を受けやすいという主張はさておいて、人は同じ個人と比較できないので、他の結論は正しくない可能性があります。一部の場合では、信頼を得るために、多分に心理学的な手法が用いられたのかもしれません。

マルウェアマイニング - Igor Muttik

データマイニングとは、大量のデータの中から特定のパターンを見つけ出すことです。マルウェアに関しては、さまざまなプロパティに基づいて、純正ソフトウェアから不正なソフトウェアを区別することです。データマイニングを行うには、次の3つの方法があります。意思決定ツリー(DT)、意思決定フォレスト(複数のツリー)、およびサポートベクターマシンです。正しい結果(不正ソフトウェアと純正ソフトウェアの差の割合)を得るには、大量の入力を必要とします。彼は、300,000のマルウェア(PE実行可能ファイル)とそれ以上の純正ソフトウェアを比較しました。

各サンプルに対して、DLLなのか、パックされているのか、インポート数はどれくらいなのかなどの複数の属性を抽出します。その後、これらのプロパティのすべてからDTを作成します。多少の偽陽性/陽性を使用してDTを作成することが可能です。彼は、最善の比率を選択しました。

残念ながら、6カ月後、彼のDTを使用した場合の比率が低下したことが判明しました。彼がより多くのプロパティを選択していたら、経時的な低下は少なかったでしょう。

Xpajの解読: コードとペイロード - Andrea Lelli

Xpajはマルウェアの1つで、暗号と難読の技法を使用しています(この暗号を解読するには、実際に、カスタム仮想マシンとそれ独自のバイトコードが必要です)。XpajはさまざまなIPアドレス、多様なISPから配信されており、ピアツーピアの機能を備えていると推測されます。

サイバー犯罪者たちは、このマルウェアを悪用してこれまでに$46,404を入手しています(1日あたり$50を超えます)。

Symantec社は、ホスティング企業の1つに、マルウェアがホストされていることを通知し、協力を得ました。この企業は、サーバをブロックしただけでなく、このウイルスをホストしているサーバのディスクのイメージを提供しました。

- the Crypto Girl