読者です 読者をやめる 読者になる 読者になる

Kaciy Discovery

Windows、セキュリティ、プログラミング、映画、音楽、がメインです。

セキュリティアプリケーション対策をしているマルウェア

セキュリティ

セキュリティアプリケーション対策をしているマルウェアが増えています。そこで、一部を紹介します。

 

説明 

セキュリティ企業のウェブサイト、IT系の情報サイト、などの情報をまとめています。

 

セキュリティアプリケーションを攻撃するマルウェアがある

セキュリティアプリケーションを攻撃し、機能を停止させることをしてきます。Windows向けに関してはすでに、多くのセキュリティアプリケーションを機能しないようにするなどのマルウェアがあります。マルウェア作成ツールにセキュリティアプリケーションを機能停止させる機能などをつけられる設定があるので、知識がなくても簡単にセキュリティアプリケーションを機能停止させるなどのマルウェアの作成ができるようになっています。マルウェアからセキュリティアプリケーションを攻撃されても、多くのセキュリティアプリケーションには自分自身を保護して機能停止などさせられないようにする防御機能があります。ですが、それでもセキュリティアプリケーションが負けてしまう場合があります。


動画は「DoubleAgent」の脆弱性を悪用してセキュリティアプリケーションを乗っ取っています。これはセキュリティ企業が作成したものです。

 

時間をあけて悪意のある動作をする場合がある

セキュリティアプリケーションには、マルウェアと思われる動作をしているかを判断して検知する機能があります(無い場合もあります)。ですが、短時間でリスクがあるかなどを判断している場合が多いので、時間をあけて悪意のある動作を分散化させていると検知できない場合があります。数分の場合がありますし、数日や数週間の場合もあるそうです。そこまで長期間の動作を記録していたら、過去の記録を確認する処理などで動作が遅くなりますし、大量に記録するので保存容量を多く使用してしまい現実的ではありません。

 

サンドボックスを回避するマルウェアがある

サンドボックスを回避するマルウェアが増えているようです。マルウェアにはサンドボックスで実行されていることを検知する機能があり、サンドボックスで実行されている時は悪意のある動作はせずに、サンドボックスで実行されていない時に情報を盗むなどの活動を開始することで、サンドボックスで実行中に検知されることを回避しています。

まずは安全かを確認するためにサンドボックスで動作させてみて、安全ならサンドボックスを使用しないようにしている人はいると思います。ですが、この方法での安全確認はあまり意味がないと言えると思います。

サンドボックスの検知方法は、ビデオカードやマウスドライバ、特定のレジストリエントリ、システムサービス、アセンブラコード、通信ポート、などを確認しているそうです。

 

OSを初期化(リカバリ)しても消えないマルウェアがある

OSを初期化しても消えないマルウェアがあります。

ブートセクタに感染していることが原因です。この場合は、ハードドライブ全体を初期化すれば消えます。

アドウェア系が多いようで、アドウェアを開発している企業が開発しているとされています。

ファームウェアに感染している場合はハードドライブ全体を初期化しても消えません。

 

ファームウェアに感染するマルウェアがある

ファームウェアに感染するマルウェアがあります。ファームウェアに感染するとセキュリティアプリケーションでは検知や除去することができないようです。運よく検知できたとしても、駆除は不可能です。OSをクリーンインストールしたり、ハードドライブ全体を初期化してもファームウェアは初期化されないのでどうすることもできません。ファームウェアを上書きすれば消えるかもしれませんが...。

 

GPUで動作するマルウェアがある

GPUで動作するマルウェアはCPUで動作するマルウェアと違って、セキュリティアプリケーションでは検知できません(又は困難です)。セキュリティアプリケーションはCPUは監視していますがGPUは監視していないからです。

 

メモリだけで動作するマルウェアがある

実行ファイルなどのファイルが無くても動作するマルウェアが登場しています。レジストリマルウェア情報を書き込んでおいて、パソコンを起動する時に自動で読み込まれるので、その時にマルウェアが動作するものもあります。レジストリにも書き込まないマルウェアも登場しています。

セキュリティアプリケーションでは検知が難しい場合もあるようです。

 

実行ファイル(exe)を圧縮して検知されにくくしている

パッカーと呼ばれるもので実行ファイルを圧縮している場合があります。圧縮されている場合は、セキュリティアプリケーションが検知しにくくなります。この技術は古くからあります。

 

必要なくなったら自らを削除するマルウェアがある

感染していたことが分からないように、必要なくなったら自らを削除するマルウェアがあります。

 

マスターブートレコード(MBR)に感染するマルウェアがある

マスターブートレコード(MBR)はオペレーティングシステム(OS)が実行する前に実行されます。深い所に感染するのでセキュリティアプリケーションでは検知や除去できなかったり、コンピュータを制御されやすかったりなどがあります。
マスターブートレコードに感染させるのは難しく、高度な知識を持ってないとできないそうです。

広告を非表示にする