Windows 10で欠落しているデフォルトの電源プランを復元する方法
このガイドでは、Windows 10でデフォルトの電源プラン(バランス、高パフォーマンス、省電力)を復元する方法を詳しく解説します。
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
悪意のあるソフトウェア (マルウェア)は、さまざまな形や規模で攻撃します。さらに、マルウェアの洗練度は長年にわたって大幅に進化しています。攻撃者は、マルウェア パッケージ全体を一度にシステムに注入することが常に最も効果的な方法であるとは限らないことを認識しています。
時間の経過とともに、マルウェアはモジュール化されました。一部のマルウェア亜種は、ターゲット システムへの影響を変更するために異なるモジュールを使用する場合があります。では、モジュール型マルウェアとは何で、どのように機能するのでしょうか?次の記事で詳しく見ていきましょう!
モジュラーマルウェア - データを盗む新しいステルス攻撃手法
モジュール型マルウェアとは何ですか?
モジュール型マルウェアは、さまざまな段階でシステムを攻撃する危険な脅威です。マルウェア モジュールは直接攻撃ではなく、二次的なアプローチをとります。
これは、最初に重要なコンポーネントのみをインストールすることによって行われます。次に、ファンファーレを作成してユーザーにその存在を警告する代わりに、最初のモジュールはシステムとサイバーセキュリティをターゲットにします。どの部分が主な原因であるか、どのような種類の保護方法が適用されているか、マルウェアがどこに脆弱性を見つけることができるか、どのエクスプロイトが成功する可能性が最も高いかなどです。
ローカル環境の検出に成功すると、第 1 段階のマルウェア モジュールはコマンド アンド コントロール (C2) サーバーと通信できるようになります。その後、C2 は追加のマルウェア モジュールとともに追加の命令を送信して、マルウェアが動作している特定の環境を利用することで応答できます。
モジュール型マルウェアは、すべての機能を 1 つのペイロードにバンドルするマルウェアよりも有益です。具体的には次のとおりです。
- マルウェアの作成者は、マルウェアの ID をすぐに変更して、ウイルス対策プログラムやその他のセキュリティプログラムを回避することができます。
- マルウェア モジュールを使用すると、機能をさまざまな環境に拡張できます。これにより、マルウェア作成者は特定のターゲットに反応したり、特定の環境で使用するために特定のモジュールをマークしたりできます。
- 元のモジュールは非常に小さく、変更が簡単でした。
- 複数のマルウェア モジュールを組み合わせると、セキュリティ研究者が次に何が起こるかを予測するのに役立ちます。
モジュール型マルウェアは新しい脅威ではありません。マルウェア開発者は、長い間モジュール式マルウェア プログラムを効果的に使用してきました。違いは、セキュリティ研究者がさまざまな状況でより多くのマルウェア モジュールに遭遇していることです。研究者らはまた、マルウェア モジュールを拡散する大規模な Necursボットネット(Dridex および Lockyランサムウェアの亜種を配布することで悪名高い) を発見しました。
マルウェアモジュールの例
マルウェア モジュールの非常に興味深い例がいくつかあります。ここではそのうちのいくつかを紹介します。
VPNフィルター
VPNFilter は、ルーターやモノのインターネット (IoT)デバイスを攻撃するマルウェアの最新バージョンです。このマルウェアは 3 つの段階で動作します。
第 1 段階のマルウェアはコマンド アンド コントロール サーバーに接続して第 2 段階のモジュールをダウンロードします。第 2 段階のモジュールはデータを収集し、コマンドを実行し、デバイス管理 (ルーター、IoT デバイス、または NAS を「フリーズ」する機能を含む) に介入できます。第 2 ステージでは、第 2 ステージのプラグインとして機能する第 3 ステージのモジュールをダウンロードすることもできます。 3 段階のモジュールには、SCADA トラフィック検出パケット、感染モジュール、およびステージ 2 マルウェアがTor ネットワークを使用して通信できるようにするモジュールが含まれています。
VPNFilter について詳しくは、「VPNFilter マルウェアがルーターを破壊する前に検出する方法」の記事をご覧ください。
T9000
パロアルトネットワークスのセキュリティ研究者は、T9000 マルウェア (ターミネーターやスカイネットとは関係ありません) を発見しました。
T9000 は、情報およびデータ収集ツールです。 T9000 をインストールすると、攻撃者は Microsoft Office 製品ファイルだけでなく「暗号化されたデータをキャプチャし、特定のアプリケーションのスクリーンショットを撮り、特にSkypeユーザーをターゲットにする」ことが可能になります。 T9000 には、24 種類のセキュリティ製品を回避するように設計されたさまざまなモジュールが付属しており、検出されないようにインストール プロセスを変更します。
ダナボット
DanaBot は、攻撃者がその機能を拡張するために使用するさまざまなプラグインを備えた多段階バンキング型トロイの木馬です。たとえば、2018 年 5 月には、オーストラリアの銀行に対する一連の攻撃で DanaBot が検出されました。当時、研究者らは、感染検出プラグイン、VNC リモート表示プラグイン、データ収集プラグイン、安全な通信を可能にする Tor プラグインのバンドルを発見しました。
Proofpoint DanaBot ブログによると、「DanaBot はバンキング型トロイの木馬であり、必然的にある程度地域をターゲットにする必要がある」とのことです。 「米国のキャンペーンで見てきたように、多くの予防策が講じられているにもかかわらず、依然としてマルウェアの活発な成長、地理的拡大、巧妙化が容易に確認でき、被害は増大しています。マルウェア自体には、いくつかの分析防止機能のほか、定期的に更新される情報窃取モジュールや遠隔制御モジュールが含まれており、ターゲットに対する脅威が増大します。」
Marap、AdvisorsBot、CobInt
Proofpoint の優れたセキュリティ研究者が 3 つすべてを同時に調査したため、この記事では 3 つのマルウェア モジュールの亜種を 1 つのセクションにまとめています。これらのマルウェア モジュールの亜種は似ていますが、用途が異なります。さらに、CobInt は、銀行および金融部門のサイバー犯罪者の長いリストと関係がある犯罪組織である Cobalt Group キャンペーンの一部です。
Marap と AdvisorsBot は、防御の対象となるシステム全体をターゲットにしてネットワークをマッピングし、マルウェアがペイロード全体をダウンロードする必要があるかどうかを判断するために作成されました。ターゲットシステムがニーズを満たしている(価値があるなど)場合、マルウェアは攻撃の第 2 フェーズに進みます。
他のマルウェア モジュール バージョンと同様に、Marap、AdvisorsBot、および CobInt は 3 段階のプロセスに従います。通常、第 1 段階は、最初の悪用を目的としたマルウェアに感染した添付ファイルを含む電子メールです。エクスプロイトが行われると、マルウェアはすぐに第 2 段階を要求します。第 2 段階では、ターゲット システムのセキュリティ対策とネットワーク環境を評価するための偵察モジュールが実行されます。マルウェアがすべてが正常であると判断すると、最終段階でメイン ペイロードを含む 3 番目のモジュールがダウンロードされます。
騒乱
Mayhem は、マルウェア モジュールの少し古いバージョンです。 Mayhem は 2014 年に初めて登場しました。しかし、Mayhem は依然として優れたモジュール型マルウェアの一例です。 Yandex のセキュリティ研究者によって発見されたこのマルウェアは、Linuxおよび Unix Web サーバーを標的としています。悪意のある PHP スクリプトを通じてインストールされます。
インストールされると、スクリプトはマルウェアの最適な使用法を決定するいくつかのプラグインを呼び出すことができます。
プラグインには、FTP、 WordPress 、Joomlaアカウントをターゲットとする総当りパスワード クラッカー、他の脆弱なサーバーを検索する Web クローラー、Heartbleed エクスプロイト OpenSLL が含まれます。
ダイヤモンドフォックス
今日の記事の最終的なマルウェア モジュールの亜種も、最も完全なバージョンの 1 つです。これは、いくつかの理由から、最も懸念されることの 1 つでもあります。
まず、DiamondFox は、さまざまなアンダーグラウンド フォーラムで販売されているモジュール式ボットネットです。潜在的なサイバー犯罪者は、DiamondFox モジュラー ボットネット パッケージを購入して、さまざまな高度な攻撃機能にアクセスできます。このツールは定期的に更新され、他のすべてのオンライン サービスと同様に、個別の顧客サポートが提供されます。 (変更ログもあります!)
2 番目の理由は、DiamondFox モジュラー ボットネットには多数のプラグインが付属していることです。これらの機能は、スマート ホーム アプリにふさわしいように、ダッシュボードからオンまたはオフにできます。プラグインには、適切なスパイ ツール、資格情報窃取ツール、DDoS ツール、キーロガー、スパム メール、さらには RAM スキャナーが含まれます。
モジュラー型マルウェア攻撃を防ぐにはどうすればよいですか?
現時点では、マルウェア モジュールの亜種からユーザーを保護できる特定のツールはありません。さらに、一部のマルウェア モジュールの亜種は地理的な範囲が限られています。たとえば、Marap、AdvisorsBot、CobInt は主にロシアと CIS 諸国で見られます。
プルーフポイントの研究者らは、現在の地理的制限にもかかわらず、モジュラー型マルウェアを使用する確立された犯罪組織を他の犯罪者が見れば、間違いなく追随するであろうことを示しました。
マルウェア モジュールがどのようにシステムに到達するかを認識することが重要です。記録されたケースの大部分は、マルウェアに感染した電子メールの添付ファイルを使用しており、多くの場合、悪意のある VBA スクリプトを含む Microsoft Office ドキュメントが含まれていました。マルウェアに感染した電子メールを何百万もの潜在的なターゲットに送信するのが簡単であるため、攻撃者はこの方法を使用します。さらに、最初のエクスプロイトは非常に小さく、通常の Office ファイルとして簡単に偽装されます。
いつものように、システムを最新の状態に保ち、高品質のウイルス対策ソフトウェアへの投資を検討してください。価値があります!
続きを見る:
Windows 10 で BlueStacks 5 の仮想化 (VT) を有効にする方法
仮想化を有効にするには、まず BIOS に移動し、BIOS 設定内から仮想化を有効にする必要があります。仮想化を使用することで、BlueStacks 5 のパフォーマンスが大幅に向上します。
WiFi接続に接続する際のドライバーの切断を修正
WiFi 接続に接続するときにドライバーが切断されるエラーを修正する方法を解説します。
Windows での DIR コマンドの使用方法
DIR コマンドは、特定のフォルダーに含まれるすべてのファイルとサブフォルダーを一覧表示する強力なコマンド プロンプト コマンドです。 Windows での DIR コマンドの使用方法を詳しく見てみましょう。
ソフトウェアを使わずに Windows 10 アプリをバックアップおよび復元する方法
ソフトウェアなしで Windows 10 アプリをバックアップし、データを保護する方法を説明します。
Windows でローカル グループ ポリシー エディターを開くための 11 のヒント
Windows のローカル グループ ポリシー エディターを使用して、通知履歴の削除やアカウントロックの設定を行う方法を説明します。
最高の IP 監視ツール 10 選
重要なリソースを簡単に監視及び管理できる<strong>IP監視</strong>ソフトウェアがあります。これらのツールは、ネットワーク、インターフェイス、アプリケーションのトラフィックをシームレスに確認、分析、管理します。
AxCrypt ソフトウェアを使用してデータを暗号化する方法
AxCrypt は、データの暗号化に特化した優れたソフトウェアであり、特にデータ セキュリティに優れています。
Windows 10 Creators Updateのアップデート後にシステムフォントを変更する方法
システムフォントのサイズを変更する方法は、Windows 10のユーザーにとって非常に便利です。
Windows 10で機内モードをオフにできないエラーを修正する方法
最近、Windows 10にアップデートした後、機内モードをオフにできない問題について多くのユーザーから苦情が寄せられています。この記事では、Windows 10で機内モードをオフにできない問題を解決する方法を説明します。