マルウェアの教科書

• 隠しディスクトップを使って遠隔操作が可能なマルウェアだと使っているWebサービスなどのセッションを使ってサービスにアクセスすることが可能
  • RDPなどは使っているPCのマウスなどを動かすと同期して動くが隠しディスクトップの場合同期しないように別の場面を表示する
• 多くのマルウェアは永続化する仕組みが備えられている
  • 暗号化して脅迫するランサムウェアにはその傾向が低い
  • ただし、ランサムウェアの感染の拡大を広げるマルウェアの場合永続化の仕組みを持っている
  • 永続化はレジストリやスタートアッププログラムなどに配置してPCの電源を付ける際に起動する
  • さらに調査をさせないように、起動時にレジストリなどからスタートアップする仕組みのところから削除を行い、シャットダウン時にそこに記述するようにすることで、電源が入っている際には確認できないようにする仕組みがある
  • ツールなどで上記を確認することはできる
• 特殊な指示を出して想定外の挙動を引き起こすことをプロンプトインジェクションという
  • 異常系をシェルブレイクと言い特殊なキャラクターを演じさせることなどによってAIにかけられた制限を外す
  • 正常系は実現したい悪いことを細分化して聞いたりする
  • 悪い表現を使わず言い方を変えるやり方
  • 正当化する理由を付けて聴くなど