Windows 10 で Microsoft Edge を常に InPrivate モードで起動する方法
共有 Windows 10 コンピューターで Microsoft Edge を使用しており、閲覧履歴を非公開にしたい場合は、Edge を常に InPrivate モードで起動することができます。
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
悪意のあるソフトウェア (マルウェア)は、さまざまな形や規模で攻撃します。さらに、マルウェアの洗練度は長年にわたって大幅に進化しています。攻撃者は、マルウェア パッケージ全体を一度にシステムに注入することが常に最も効果的な方法であるとは限らないことを認識しています。
時間の経過とともに、マルウェアはモジュール化されました。一部のマルウェア亜種は、ターゲット システムへの影響を変更するために異なるモジュールを使用する場合があります。では、モジュール型マルウェアとは何で、どのように機能するのでしょうか?次の記事で詳しく見ていきましょう!
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
モジュール型マルウェアとは何ですか?
モジュール型マルウェアは、さまざまな段階でシステムを攻撃する危険な脅威です。マルウェア モジュールは直接攻撃ではなく、二次的なアプローチをとります。
これは、最初に重要なコンポーネントのみをインストールすることによって行われます。次に、ファンファーレを作成してユーザーにその存在を警告する代わりに、最初のモジュールはシステムとサイバーセキュリティをターゲットにします。どの部分が主な原因であるか、どのような種類の保護方法が適用されているか、マルウェアがどこに脆弱性を見つけることができるか、どのエクスプロイトが成功する可能性が最も高いかなどです。
ローカル環境の検出に成功すると、第 1 段階のマルウェア モジュールはコマンド アンド コントロール (C2) サーバーと通信できるようになります。その後、C2 は追加のマルウェア モジュールとともに追加の命令を送信して、マルウェアが動作している特定の環境を利用することで応答できます。
モジュール型マルウェアは、すべての機能を 1 つのペイロードにバンドルするマルウェアよりも有益です。具体的には次のとおりです。
- マルウェアの作成者は、マルウェアの ID をすぐに変更して、ウイルス対策プログラムやその他のセキュリティプログラムを回避することができます。
- マルウェア モジュールを使用すると、機能をさまざまな環境に拡張できます。これにより、マルウェア作成者は特定のターゲットに反応したり、特定の環境で使用するために特定のモジュールをマークしたりできます。
- 元のモジュールは非常に小さく、変更が簡単でした。
- 複数のマルウェア モジュールを組み合わせると、セキュリティ研究者が次に何が起こるかを予測するのに役立ちます。
モジュール型マルウェアは新しい脅威ではありません。マルウェア開発者は、長い間モジュール式マルウェア プログラムを効果的に使用してきました。違いは、セキュリティ研究者がさまざまな状況でより多くのマルウェア モジュールに遭遇していることです。研究者らはまた、マルウェア モジュールを拡散する大規模な Necursボットネット(Dridex および Lockyランサムウェアの亜種を配布することで悪名高い) を発見しました。
マルウェアモジュールの例
マルウェア モジュールの非常に興味深い例がいくつかあります。ここではそのうちのいくつかを紹介します。
VPNフィルター
VPNFilter は、ルーターやモノのインターネット (IoT)デバイスを攻撃するマルウェアの最新バージョンです。このマルウェアは 3 つの段階で動作します。
第 1 段階のマルウェアはコマンド アンド コントロール サーバーに接続して第 2 段階のモジュールをダウンロードします。第 2 段階のモジュールはデータを収集し、コマンドを実行し、デバイス管理 (ルーター、IoT デバイス、または NAS を「フリーズ」する機能を含む) に介入できます。第 2 ステージでは、第 2 ステージのプラグインとして機能する第 3 ステージのモジュールをダウンロードすることもできます。 3 段階のモジュールには、SCADA トラフィック検出パケット、感染モジュール、およびステージ 2 マルウェアがTor ネットワークを使用して通信できるようにするモジュールが含まれています。
VPNFilter について詳しくは、「VPNFilter マルウェアがルーターを破壊する前に検出する方法」の記事をご覧ください。
T9000
パロアルトネットワークスのセキュリティ研究者は、T9000 マルウェア (ターミネーターやスカイネットとは関係ありません) を発見しました。
T9000 は、情報およびデータ収集ツールです。 T9000 をインストールすると、攻撃者は Microsoft Office 製品ファイルだけでなく「暗号化されたデータをキャプチャし、特定のアプリケーションのスクリーンショットを撮り、特にSkypeユーザーをターゲットにする」ことが可能になります。 T9000 には、24 種類のセキュリティ製品を回避するように設計されたさまざまなモジュールが付属しており、検出されないようにインストール プロセスを変更します。
ダナボット
DanaBot は、攻撃者がその機能を拡張するために使用するさまざまなプラグインを備えた多段階バンキング型トロイの木馬です。たとえば、2018 年 5 月には、オーストラリアの銀行に対する一連の攻撃で DanaBot が検出されました。当時、研究者らは、感染検出プラグイン、VNC リモート表示プラグイン、データ収集プラグイン、安全な通信を可能にする Tor プラグインのバンドルを発見しました。
Proofpoint DanaBot ブログによると、「DanaBot はバンキング型トロイの木馬であり、必然的にある程度地域をターゲットにする必要がある」とのことです。 「米国のキャンペーンで見てきたように、多くの予防策が講じられているにもかかわらず、依然としてマルウェアの活発な成長、地理的拡大、巧妙化が容易に確認でき、被害は増大しています。マルウェア自体には、いくつかの分析防止機能のほか、定期的に更新される情報窃取モジュールや遠隔制御モジュールが含まれており、ターゲットに対する脅威が増大します。」
Marap、AdvisorsBot、CobInt
Proofpoint の優れたセキュリティ研究者が 3 つすべてを同時に調査したため、この記事では 3 つのマルウェア モジュールの亜種を 1 つのセクションにまとめています。これらのマルウェア モジュールの亜種は似ていますが、用途が異なります。さらに、CobInt は、銀行および金融部門のサイバー犯罪者の長いリストと関係がある犯罪組織である Cobalt Group キャンペーンの一部です。
Marap と AdvisorsBot は、防御の対象となるシステム全体をターゲットにしてネットワークをマッピングし、マルウェアがペイロード全体をダウンロードする必要があるかどうかを判断するために作成されました。ターゲットシステムがニーズを満たしている(価値があるなど)場合、マルウェアは攻撃の第 2 フェーズに進みます。
他のマルウェア モジュール バージョンと同様に、Marap、AdvisorsBot、および CobInt は 3 段階のプロセスに従います。通常、第 1 段階は、最初の悪用を目的としたマルウェアに感染した添付ファイルを含む電子メールです。エクスプロイトが行われると、マルウェアはすぐに第 2 段階を要求します。第 2 段階では、ターゲット システムのセキュリティ対策とネットワーク環境を評価するための偵察モジュールが実行されます。マルウェアがすべてが正常であると判断すると、最終段階でメイン ペイロードを含む 3 番目のモジュールがダウンロードされます。
騒乱
Mayhem は、マルウェア モジュールの少し古いバージョンです。 Mayhem は 2014 年に初めて登場しました。しかし、Mayhem は依然として優れたモジュール型マルウェアの一例です。 Yandex のセキュリティ研究者によって発見されたこのマルウェアは、Linuxおよび Unix Web サーバーを標的としています。悪意のある PHP スクリプトを通じてインストールされます。
インストールされると、スクリプトはマルウェアの最適な使用法を決定するいくつかのプラグインを呼び出すことができます。
プラグインには、FTP、 WordPress 、Joomlaアカウントをターゲットとする総当りパスワード クラッカー、他の脆弱なサーバーを検索する Web クローラー、Heartbleed エクスプロイト OpenSLL が含まれます。
ダイヤモンドフォックス
今日の記事の最終的なマルウェア モジュールの亜種も、最も完全なバージョンの 1 つです。これは、いくつかの理由から、最も懸念されることの 1 つでもあります。
まず、DiamondFox は、さまざまなアンダーグラウンド フォーラムで販売されているモジュール式ボットネットです。潜在的なサイバー犯罪者は、DiamondFox モジュラー ボットネット パッケージを購入して、さまざまな高度な攻撃機能にアクセスできます。このツールは定期的に更新され、他のすべてのオンライン サービスと同様に、個別の顧客サポートが提供されます。 (変更ログもあります!)
2 番目の理由は、DiamondFox モジュラー ボットネットには多数のプラグインが付属していることです。これらの機能は、スマート ホーム アプリにふさわしいように、ダッシュボードからオンまたはオフにできます。プラグインには、適切なスパイ ツール、資格情報窃取ツール、DDoS ツール、キーロガー、スパム メール、さらには RAM スキャナーが含まれます。
モジュラー型マルウェア攻撃を防ぐにはどうすればよいですか?
現時点では、マルウェア モジュールの亜種からユーザーを保護できる特定のツールはありません。さらに、一部のマルウェア モジュールの亜種は地理的な範囲が限られています。たとえば、Marap、AdvisorsBot、CobInt は主にロシアと CIS 諸国で見られます。
プルーフポイントの研究者らは、現在の地理的制限にもかかわらず、モジュラー型マルウェアを使用する確立された犯罪組織を他の犯罪者が見れば、間違いなく追随するであろうことを示しました。
マルウェア モジュールがどのようにシステムに到達するかを認識することが重要です。記録されたケースの大部分は、マルウェアに感染した電子メールの添付ファイルを使用しており、多くの場合、悪意のある VBA スクリプトを含む Microsoft Office ドキュメントが含まれていました。マルウェアに感染した電子メールを何百万もの潜在的なターゲットに送信するのが簡単であるため、攻撃者はこの方法を使用します。さらに、最初のエクスプロイトは非常に小さく、通常の Office ファイルとして簡単に偽装されます。
いつものように、システムを最新の状態に保ち、高品質のウイルス対策ソフトウェアへの投資を検討してください。価値があります!
続きを見る:
対称暗号化と非対称暗号化の違いを調べる
現在一般的に導入されている暗号化には、対称暗号化と非対称暗号化の 2 種類があります。これら 2 つのタイプの暗号化の基本的な違いは、対称暗号化では暗号化操作と復号化操作の両方に単一のキーが使用されることです。
Windows で全画面モードを終了する方法
コンピュータの全画面モードでは、不要なコンテンツが削除されます。では、Windows の全画面モードを終了するにはどうすればよいでしょうか?
USB ドライブをコンピューターやラップトップの RAM に変える方法。もう知っていますか?
コンピューターの動作が遅くなったり、温度の上昇や頻繁なフリーズなどの症状が現れ始めた場合は、コンピューター上のすべての RAM が使い果たされている可能性が高くなります。
USB/CD/DVD、外付けハードドライブから起動するように BIOS を設定する方法
新しいコンピュータをインストールする場合、または Windows を再インストールする場合は、サポート ツールからの起動を選択するための BIOS の設定が必要です。ユーザーが USB/CD/DVD や外付けハード ドライブなどのデバイスを使用して Windows をインストールする場合、対応するブート デバイスで実行されるように BIOS をセットアップする必要があります。
Avira Free Security レビュー: 優れた無料ウイルス対策ツール
Avira Free Security は、さまざまな理由から利用できる最高の無料ウイルス対策ソフトウェア プログラムの 1 つです (無料であることが最も大きな理由ではありません)。
データベースサーバーとは何ですか?
データベース サーバーは、データベースへのアクセスとデータベースからの情報の取得に関連するサービスを他のコンピュータに提供するコンピュータ システムです。
最新の Windows 10 の注目すべきセキュリティ機能
Windows 10 Spring Creators Update (Amazon.com で $92.99) を使用すると、Microsoft はデータとアカウントをより詳細に制御できるようになります。タイムライン、共有、設定アプリなどの新機能について学習した後は、この 3 つの新しいプライバシー設定についてよく理解しておきたいと思うでしょう。
Windows Defender によってファイルが誤って削除されないように保護する方法
Windows Defender は、マルウェアを排除する機能を備えたウイルス対策およびコンピューター システム セキュリティ ツールです。しかし、このツールが誤って重要なデータを削除してしまったらどうなるでしょうか?
Microsoft Authenticator アプリの使用方法
Microsoft Authenticator は、サポートされているアプリや Web サイトで 2 要素認証を有効にするアプリケーションです。