2015年8月27日 15:03
脅威スキャンを回避するAndroidのランサムウェアが登場 - Symantec
ランサムウェアは、スキャンツールの解析を回避するため、データの文字列を操作し、別のプログラムに見せかけている。文字列の操作にはいくつか方法がある。
1つは、文字列を逆順の形式で格納し、実行時に正しい形を構築して利用するというもので、実際の文字列は静的解析のときまで判明しない。
2つ目は、実際の文字列の先頭や末尾に、連続したゴミ文字を埋め込むというもの。完成した文字列をBase64によるエンコードを実行し、マルウェアのコードで使う。その後、プロセスを逆に実行して、実際の文字を取得する(まず文字列をBase64デコードを実行し、次に先頭または末尾に追加された連続のゴミ文字を削除すれば、実際の文字列が得られる)。
3つ目は、ハードコードされた暗号鍵を使い、文字列をAESで暗号化するというもの。文字列を暗号化すると静的な解析ツールには無意味に見えることになる。
マルウェアが動作し、文字列が復号されて初めて文字列は意味を成すようになる。
4つ目は、特定の文字列を検索されないようにするために、空白やカンマを付け加えたり、Unicodeに変換したりする方法。例えば、「Child’s」という単語を「Child\u2019s」