シンプルなハッキング手口:ファイルのコピーで検出を回避
● 最近のマルウェア技法には、単にファイルをコピーするだけで検出を回避するものがあります。 ● それがどのように動作するかを順を追って解説します。 ● 革新的なハッカーは、検出を回避する、洗練されたマルウェアを継続的に生みだしています。
米国Bromium社の技術陣が発信した記事を中心に、最新の情報をご紹介いたします。
● 最近のマルウェア技法には、単にファイルをコピーするだけで検出を回避するものがあります。 ● それがどのように動作するかを順を追って解説します。 ● 革新的なハッカーは、検出を回避する、洗練されたマルウェアを継続的に生みだしています。
● Intelのチップの脆弱性に起因してSpectreとMeltdownと呼ばれる、情報漏えいに繋がる脆弱性が引き起こされました。 ● 双方とも、一般ユーザー空間で実行された攻撃さえ、他のプロセスに属するデータの参照を可能にし、さらに特権がある場合はカーネル自体を含むプロセスの読み込みを可能にしてしまいます。 ● MeltdownはIntelのCPUにしか見られませんが、Spectreの脆弱性は、IntelやAMDをはじめとした大半の最新CPUや、ARMなどの異なるアーキテクチャでも存在します。 ● SpectreとMeltdownは共に、攻撃側はターゲットにするシステム上でコードを実行する必要があります。 ● マイクロ仮想化は、カーネル関係の脆弱性からでさえ、非常に効果的な保護になります。
● プロセスDoppelganging(ドッペルゲンジング)は、大半のセキュリティツールをバイパスし、すべてのWindowsバージョンで動作してしまう、新しいコードインジェクション技術である。 ● 検出に依存したセキュリティソリューション頼りでは、プロセスDoppelgangingに対して脆弱になる。 ● Bromiumは、信頼できないタスクをハードウェア的に隔離した仮想マシンで実行するため、ゼロデイや新たな検出不可能な手口からも常に保護することが可能になる。
● ネットバンキング詐欺ツールの一種、Emotetが仕組まれた検体群を分析し、比較してみました。 ● マルウェア作成者は、侵害目的のプログラムを個々の潜在的犠牲者ごとに、一意の実行ファイルに再パッケージにする手 口で、シグネチャ方式での検出を回避します。 ● 再パッケージされドロップされた実行ファイルは、それまで存在しなかったものです。このため、アプリケーションの隔離と制御が重要です。 唯一の安全なアプローチである、検出に頼らない保護が必要です。
● 脆弱なアプリケーションやブラウザは、これらこそがデータ侵害の永続的なエントリポイントです。 セキュリティにおいて一般に関心が払われるファイル類は、主役ではありません。 ● カーネルレベルの攻撃経路やマルウェアのすり抜けを絶対的に排除する唯一の方法は、隔離することです。 ● 報セキュリティの防衛を、より少なく、賢く、より効果的な階層での実現を再考する時期です。 ● 思っているより多くのエンドポイントが存在します。
● 2016年3月4日、とある米国連邦機関のエンドポイントから、インターネットエクスプローラ(IE)でWebサイ ト 、hxxp://pssor.com/pssor-home を閲覧中にAngler EK TeslaCryptに遭遇しました。 ● 同日、マルウェアがエンドポイントで実行された時点では、ウイルス対策製品ベンダーには知られてい ませんでした。 実際、これが認識されたのは2016年3月7日でした。 ● 信頼できない各タスクをハードウェア的に隔離するBromiumのおかげで、マルウェアが組織ネットワークの境界防御やマルウェア対策をすり抜けたにも関わらず、このエンドポイントはまったく侵害は発生しませんでした。
● 非永続型も含めてVDI環境は今日のマルウェアを防御することに役に立たない ● VDIは物理デスクトップと同じようにマルウェアに対して感染しやすい ● 仮想ベース(Virtual Based Security VBS)こそが物理、仮想デスクトップ双方に対してのサイバーセキュリティ問題を解決する
● RSA 2017では、あるメッセージが繰り返し声高に語り掛けられ、出席者に浴びせられた。それは、「人工知能が私たちのセキュリティ問題を解決してくれる」と いうメッセージだ ● 問題は、攻撃者も同じ手法を使っているので、サイバー犯罪は起き続ける ● そろそろゲームを終わらせる時が来た
● 多くの企業では、アプリケーションのアップデートは負担になっており、中期程度の期間内では完了できない事すらあり、アプリの保有を続ける上で苦心しています。 ● IT業界側では、途切れる事のない、頻繁なアプリケーション・アップグレードの方式へ移行しようと取り組んでいます。通常、パッチの提供はベンダーに依存しますが、実際には、彼らはあなたのPCの事をよくは知らないのです。 ● ハードウェア強制による隔離は、アプリケーションベンダーがセキュリティの脆弱性を認識さえする前に保護することができます。
● Googleの上級セキュリティエンジニアであるDarren Bilbyは、アンチウィルス(AV)を評して、「炭鉱に連れて行くカナリアみたいなもの」と表現した ● 数学者のAlan Turingは、マルウェアが世に出るはるか前の1936年に、AVが成立しない問題であることを証明している ● Bromium Hardware Task Isolationは、停止性問題の解決に依存していないので役に立つ