究極のパフォーマンスを有効にして Windows 10/11 のパフォーマンスを最適化する方法
Microsoft は、2018 年 4 月に Windows 10 Update に Ultimate Performance と呼ばれる機能を追加しました。これは、システムを高パフォーマンス動作モードに切り替えるのに役立つ機能であることがわかります。
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
悪意のあるソフトウェア (マルウェア)は、さまざまな形や規模で攻撃します。さらに、マルウェアの洗練度は長年にわたって大幅に進化しています。攻撃者は、マルウェア パッケージ全体を一度にシステムに注入することが常に最も効果的な方法であるとは限らないことを認識しています。
時間の経過とともに、マルウェアはモジュール化されました。一部のマルウェア亜種は、ターゲット システムへの影響を変更するために異なるモジュールを使用する場合があります。では、モジュール型マルウェアとは何で、どのように機能するのでしょうか?次の記事で詳しく見ていきましょう!
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
モジュール型マルウェアとは何ですか?
モジュール型マルウェアは、さまざまな段階でシステムを攻撃する危険な脅威です。マルウェア モジュールは直接攻撃ではなく、二次的なアプローチをとります。
これは、最初に重要なコンポーネントのみをインストールすることによって行われます。次に、ファンファーレを作成してユーザーにその存在を警告する代わりに、最初のモジュールはシステムとサイバーセキュリティをターゲットにします。どの部分が主な原因であるか、どのような種類の保護方法が適用されているか、マルウェアがどこに脆弱性を見つけることができるか、どのエクスプロイトが成功する可能性が最も高いかなどです。
ローカル環境の検出に成功すると、第 1 段階のマルウェア モジュールはコマンド アンド コントロール (C2) サーバーと通信できるようになります。その後、C2 は追加のマルウェア モジュールとともに追加の命令を送信して、マルウェアが動作している特定の環境を利用することで応答できます。
モジュール型マルウェアは、すべての機能を 1 つのペイロードにバンドルするマルウェアよりも有益です。具体的には次のとおりです。
- マルウェアの作成者は、マルウェアの ID をすぐに変更して、ウイルス対策プログラムやその他のセキュリティプログラムを回避することができます。
- マルウェア モジュールを使用すると、機能をさまざまな環境に拡張できます。これにより、マルウェア作成者は特定のターゲットに反応したり、特定の環境で使用するために特定のモジュールをマークしたりできます。
- 元のモジュールは非常に小さく、変更が簡単でした。
- 複数のマルウェア モジュールを組み合わせると、セキュリティ研究者が次に何が起こるかを予測するのに役立ちます。
モジュール型マルウェアは新しい脅威ではありません。マルウェア開発者は、長い間モジュール式マルウェア プログラムを効果的に使用してきました。違いは、セキュリティ研究者がさまざまな状況でより多くのマルウェア モジュールに遭遇していることです。研究者らはまた、マルウェア モジュールを拡散する大規模な Necursボットネット(Dridex および Lockyランサムウェアの亜種を配布することで悪名高い) を発見しました。
マルウェアモジュールの例
マルウェア モジュールの非常に興味深い例がいくつかあります。ここではそのうちのいくつかを紹介します。
VPNフィルター
VPNFilter は、ルーターやモノのインターネット (IoT)デバイスを攻撃するマルウェアの最新バージョンです。このマルウェアは 3 つの段階で動作します。
第 1 段階のマルウェアはコマンド アンド コントロール サーバーに接続して第 2 段階のモジュールをダウンロードします。第 2 段階のモジュールはデータを収集し、コマンドを実行し、デバイス管理 (ルーター、IoT デバイス、または NAS を「フリーズ」する機能を含む) に介入できます。第 2 ステージでは、第 2 ステージのプラグインとして機能する第 3 ステージのモジュールをダウンロードすることもできます。 3 段階のモジュールには、SCADA トラフィック検出パケット、感染モジュール、およびステージ 2 マルウェアがTor ネットワークを使用して通信できるようにするモジュールが含まれています。
VPNFilter について詳しくは、「VPNFilter マルウェアがルーターを破壊する前に検出する方法」の記事をご覧ください。
T9000
パロアルトネットワークスのセキュリティ研究者は、T9000 マルウェア (ターミネーターやスカイネットとは関係ありません) を発見しました。
T9000 は、情報およびデータ収集ツールです。 T9000 をインストールすると、攻撃者は Microsoft Office 製品ファイルだけでなく「暗号化されたデータをキャプチャし、特定のアプリケーションのスクリーンショットを撮り、特にSkypeユーザーをターゲットにする」ことが可能になります。 T9000 には、24 種類のセキュリティ製品を回避するように設計されたさまざまなモジュールが付属しており、検出されないようにインストール プロセスを変更します。
ダナボット
DanaBot は、攻撃者がその機能を拡張するために使用するさまざまなプラグインを備えた多段階バンキング型トロイの木馬です。たとえば、2018 年 5 月には、オーストラリアの銀行に対する一連の攻撃で DanaBot が検出されました。当時、研究者らは、感染検出プラグイン、VNC リモート表示プラグイン、データ収集プラグイン、安全な通信を可能にする Tor プラグインのバンドルを発見しました。
Proofpoint DanaBot ブログによると、「DanaBot はバンキング型トロイの木馬であり、必然的にある程度地域をターゲットにする必要がある」とのことです。 「米国のキャンペーンで見てきたように、多くの予防策が講じられているにもかかわらず、依然としてマルウェアの活発な成長、地理的拡大、巧妙化が容易に確認でき、被害は増大しています。マルウェア自体には、いくつかの分析防止機能のほか、定期的に更新される情報窃取モジュールや遠隔制御モジュールが含まれており、ターゲットに対する脅威が増大します。」
Marap、AdvisorsBot、CobInt
Proofpoint の優れたセキュリティ研究者が 3 つすべてを同時に調査したため、この記事では 3 つのマルウェア モジュールの亜種を 1 つのセクションにまとめています。これらのマルウェア モジュールの亜種は似ていますが、用途が異なります。さらに、CobInt は、銀行および金融部門のサイバー犯罪者の長いリストと関係がある犯罪組織である Cobalt Group キャンペーンの一部です。
Marap と AdvisorsBot は、防御の対象となるシステム全体をターゲットにしてネットワークをマッピングし、マルウェアがペイロード全体をダウンロードする必要があるかどうかを判断するために作成されました。ターゲットシステムがニーズを満たしている(価値があるなど)場合、マルウェアは攻撃の第 2 フェーズに進みます。
他のマルウェア モジュール バージョンと同様に、Marap、AdvisorsBot、および CobInt は 3 段階のプロセスに従います。通常、第 1 段階は、最初の悪用を目的としたマルウェアに感染した添付ファイルを含む電子メールです。エクスプロイトが行われると、マルウェアはすぐに第 2 段階を要求します。第 2 段階では、ターゲット システムのセキュリティ対策とネットワーク環境を評価するための偵察モジュールが実行されます。マルウェアがすべてが正常であると判断すると、最終段階でメイン ペイロードを含む 3 番目のモジュールがダウンロードされます。
騒乱
Mayhem は、マルウェア モジュールの少し古いバージョンです。 Mayhem は 2014 年に初めて登場しました。しかし、Mayhem は依然として優れたモジュール型マルウェアの一例です。 Yandex のセキュリティ研究者によって発見されたこのマルウェアは、Linuxおよび Unix Web サーバーを標的としています。悪意のある PHP スクリプトを通じてインストールされます。
インストールされると、スクリプトはマルウェアの最適な使用法を決定するいくつかのプラグインを呼び出すことができます。
プラグインには、FTP、 WordPress 、Joomlaアカウントをターゲットとする総当りパスワード クラッカー、他の脆弱なサーバーを検索する Web クローラー、Heartbleed エクスプロイト OpenSLL が含まれます。
ダイヤモンドフォックス
今日の記事の最終的なマルウェア モジュールの亜種も、最も完全なバージョンの 1 つです。これは、いくつかの理由から、最も懸念されることの 1 つでもあります。
まず、DiamondFox は、さまざまなアンダーグラウンド フォーラムで販売されているモジュール式ボットネットです。潜在的なサイバー犯罪者は、DiamondFox モジュラー ボットネット パッケージを購入して、さまざまな高度な攻撃機能にアクセスできます。このツールは定期的に更新され、他のすべてのオンライン サービスと同様に、個別の顧客サポートが提供されます。 (変更ログもあります!)
2 番目の理由は、DiamondFox モジュラー ボットネットには多数のプラグインが付属していることです。これらの機能は、スマート ホーム アプリにふさわしいように、ダッシュボードからオンまたはオフにできます。プラグインには、適切なスパイ ツール、資格情報窃取ツール、DDoS ツール、キーロガー、スパム メール、さらには RAM スキャナーが含まれます。
モジュラー型マルウェア攻撃を防ぐにはどうすればよいですか?
現時点では、マルウェア モジュールの亜種からユーザーを保護できる特定のツールはありません。さらに、一部のマルウェア モジュールの亜種は地理的な範囲が限られています。たとえば、Marap、AdvisorsBot、CobInt は主にロシアと CIS 諸国で見られます。
プルーフポイントの研究者らは、現在の地理的制限にもかかわらず、モジュラー型マルウェアを使用する確立された犯罪組織を他の犯罪者が見れば、間違いなく追随するであろうことを示しました。
マルウェア モジュールがどのようにシステムに到達するかを認識することが重要です。記録されたケースの大部分は、マルウェアに感染した電子メールの添付ファイルを使用しており、多くの場合、悪意のある VBA スクリプトを含む Microsoft Office ドキュメントが含まれていました。マルウェアに感染した電子メールを何百万もの潜在的なターゲットに送信するのが簡単であるため、攻撃者はこの方法を使用します。さらに、最初のエクスプロイトは非常に小さく、通常の Office ファイルとして簡単に偽装されます。
いつものように、システムを最新の状態に保ち、高品質のウイルス対策ソフトウェアへの投資を検討してください。価値があります!
続きを見る:
Windows 10 Sun Valley のような新しいファイル エクスプローラー アイコン セットをインストールする方法
Windows 10 Sun Valley のようなファイル エクスプローラーの新しいアイコンが気に入った場合は、以下の記事に従ってファイル エクスプローラーのまったく新しいインターフェイスを変更してください。
Windows 10 Webカメラをテストする方法
Web カメラが Windows コンピューターで適切に動作するかどうかを確認するのは、迅速かつ簡単です。以下は、カメラを確認するための手順です。
Windows 10 でマイクをテストする方法
おそらく高品質のヘッドフォンが接続されているのに、何らかの理由で Windows ラップトップがひどい内蔵マイクを使用して録音しようとし続けます。次の記事では、Windows 10 マイクをテストする方法について説明します。
右クリックメニューから「Malwarebytesでスキャン」を削除する方法
不要になった場合は、右クリックのコンテキスト メニューから [Malwarebytes でスキャン] オプションを削除できます。その方法は次のとおりです。
ボーダー ゲートウェイ プロトコル (BGP) について学ぶ
ボーダー ゲートウェイ プロトコル (BGP) は、インターネットのルーティング情報を交換するために使用され、ISP (異なる AS) 間で使用されるプロトコルです。
独自の Windows レジストリ ハック ファイルを作成する方法
ヒントを読んでいると、レジストリ ハック ファイルを使用して Windows コンピュータをカスタマイズしたり微調整したりする人がよく見かけますが、その作成方法を疑問に思っています。この記事では、独自のレジストリ ハック ファイルを作成する基本的な手順を説明します。
Windows 10で自動レジストリバックアップを有効にする方法
Microsoft は以前はレジストリを自動的にバックアップしていましたが、この機能は Windows 10 では密かに無効になっています。この記事では、Quantrimang.com がレジストリをフォルダーに自動的にバックアップする手順を説明します。 RegBack (Windows\System32\config \RegBack) Windows 10 では。
Windows PCでアクションを元に戻す方法
コンピューターを使用していると、間違いを犯すのはごく普通のことです。
Windows 10/11 でイーサネット接続が切断され続ける場合はどうすればよいですか?
Windows 10 または 11 PC では、イーサネット接続が理由もなく切断されてイライラすることがあります。