最も卑劣なマルウェア

一部のマルウェア攻撃は非常に露骨で、被害を受けたという事実を見逃すことはできません。 ランサムウェアプログラムは、支払いをしてロックを解除するまで、コンピューターへのすべてのアクセスをロックアウトします。 ソーシャルメディアハイジャッカーは、ソーシャルメディアページに奇妙なステータスの更新を投稿し、毒されたリンクをクリックした人に感染します。 アドウェアプログラムは、ブラウザが開いていなくてもデスクトップにポップアップ広告を散らかします。 はい、それらはすべて非常に迷惑ですが、問題があることを知っているので、ウイルス対策ソリューションを見つけることに取り組むことができます。

完全に目に見えないマルウェアの侵入は、はるかに危険です。 ウイルス対策ソフトウェアがウイルスを「認識」せず、望ましくない動作に気付かない場合、マルウェアは無料でオンラインバンキングアクティビティを追跡したり、不正な目的でコンピューティングパワーを使用したりします。 彼らはどのように見えないままですか？ マルウェアがあなたから隠れる4つの方法と、見えないものを見るためのアイデアを次に示します。

オペレーティングシステムSubversion

Windows Explorerがすべての写真、ドキュメント、およびその他のファイルを一覧表示できることは当然ですが、それを実現するために舞台裏で多くのことが行われています。 ソフトウェアドライバーは物理ハードドライブと通信してビットとバイトを取得し、ファイルシステムはそれらのビットとバイトをオペレーティングシステムのファイルとフォルダーに解釈します。 プログラムは、ファイルまたはフォルダーのリストを取得する必要がある場合、オペレーティングシステムを照会します。 実際には、どのプログラムでもファイルシステムに直接照会したり、ハードウェアと直接通信したりすることもできますが、OSを呼び出すだけの方がはるかに簡単です。

ルートキットテクノロジーにより、悪意のあるプログラムは、オペレーティングシステムへの呼び出しを傍受することにより、ビューから自分自身を効果的に消去できます。 プログラムが特定の場所にあるファイルのリストを要求すると、ルートキットはその要求をWindowsに渡し、リストを返す前に自身のファイルへのすべての参照を削除します。 存在するファイルに関する情報をWindowsのみに依存するウイルス対策ソフトウェアは、ルートキットを認識しません。 一部のルートキットは、同様のトリックを使用してレジストリ設定を非表示にします。

ファイルなしマルウェア

一般的なウイルス対策では、ディスク上のすべてのファイルをスキャンし、悪意のあるファイルがないことを確認し、実行を許可する前に各ファイルをスキャンします。 しかし、ファイルがない場合はどうでしょうか？ 10年前、Slammerワームは世界中のネットワークに大混乱をもたらしました。 バッファオーバーラン攻撃を使用してメモリ内で直接伝播し、任意のコードを実行し、ファイルをディスクに書き込みませんでした。

最近、Kasperskyの研究者は、ロシアのニュースサイトへの訪問者を攻撃するファイルなしのJava感染を報告しました。 このエクスプロイトは、バナー広告を介して伝播し、コードを重要なJavaプロセスに直接注入しました。 ユーザーアカウント制御の無効化に成功した場合、コマンドアンドコントロールサーバーに連絡して、次に何をすべきかについての指示を求めます。 換気ダクトを通って入り込み、残りの乗組員のセキュリティシステムをオフにする銀行強盗の仲間と考えてください。 カスペルスキーによると、この時点での一般的なアクションの1つは、Lurkトロイの木馬をインストールすることです。

厳密にメモリ内にあるマルウェアは、コンピューターを再起動するだけで削除できます。 それは、部分的には、彼らがどのようにしてその日スラムマーを倒したかということです。 ただし、問題があることがわからない場合は、再起動する必要があることはわかりません。

リターン指向プログラミング

MicrosoftのBlueHat Prizeセキュリティリサーチコンテストの3人のファイナリスト全員が、Return Oriented Programming（ROP）に取り組んでいます。 ROPを使用する攻撃は、実行可能なコードをインストールするのではなく、そのようなものではないため、潜んでいます。 むしろ、オペレーティングシステムの一部であっても、他のプログラム内で必要な命令を見つけます。

具体的には、ROP攻撃は、いくつかの有用な機能を実行し、RET（リターン）命令で終わるコードブロック（専門家によって「ガジェット」と呼ばれる）を探します。 CPUはその命令をヒットすると、呼び出しプロセス（この場合はROPマルウェア）に制御を返します。ROPマルウェアは、おそらく別のプログラムから次のコードブロックを起動します。 ガジェットアドレスの大きなリストは単なるデータであるため、ROPベースのマルウェアの検出は困難です。

フランケンシュタインのマルウェア

昨年のUsenix WOOT（Offensive Technologiesのワークショップ）カンファレンスで、テキサス大学ダラス校の研究者ペアがReturn Oriented Programmingに似たアイデアを発表しました。 「Frankenstein：Benign Binaries from Stigning Malware from Benign Binaries」というタイトルの論文では、既知の信頼できるプログラムからコードの塊をつなぎ合わせることにより、検出が困難なマルウェアを作成する技術について説明しました。

「良性に分類されたバイナリに共通するバイトシーケンスから完全に新しいバイナリを構成することにより、結果のミュータントは、バイナリ機能のホワイトリストとブラックリストの両方を含むシグネチャに一致する可能性が低くなります。」 この手法は、すべての重要なRET命令で終わるチャンクだけでなく、コードのチャンクを組み込むことができるため、ROPよりもはるかに柔軟です。

見えないものを見る方法

良いことは、これらの卑劣な悪意のあるプログラムを検出するための助けを得ることができるということです。 たとえば、ウイルス対策プログラムはいくつかの方法でルートキットを検出できます。 遅いが簡単な方法の1つは、Windowsによって報告されたディスク上のすべてのファイルの監査を行うこと、ファイルシステムに直接クエリを実行して別の監査を行うこと、および不一致を探すことです。 また、ルートキットは特にWindowsを破壊するため、Windows以外のOSで起動するアンチウイルスはだまされません。

メモリのみのファイルなしの脅威は、アクティブなプロセスを追跡したり、攻撃ベクトルをブロックしたりするウイルス対策保護に屈します。 セキュリティソフトウェアは、その脅威に対応する感染したWebサイトへのアクセスをブロックするか、そのインジェクション技術をブロックする可能性があります。

フランケンシュタインの手法は、厳密に署名ベースのウイルス対策を欺く可能性がありますが、最新のセキュリティツールは署名を超えています。 パッチワークマルウェアが実際に悪意のあることをした場合、動作ベースのスキャナーがそれを見つける可能性があります。 そして、それは以前どこにも見られたことがないので、有病率を考慮に入れるシマンテックのノートンファイルインサイトのようなシステムは、それを危険な異常としてフラグを立てます。

Return Oriented Programming攻撃の緩和に関しては、それは難しい攻撃ですが、それを解決するために多くの頭脳が費やされてきました。 経済力も-マイクロソフトはこの問題に取り組んでいるトップ研究者に25万ドルを授与しました。 また、特定の有効なプログラムの存在に大きく依存しているため、ROP攻撃は、広範なマルウェアキャンペーンではなく、特定のターゲットに対して使用される可能性が高くなります。 自宅のコンピューターはおそらく安全です。 あなたのオフィスのPC、それほどではありません。