読者です 読者をやめる 読者になる 読者になる

Kaciy Discovery

映画、音楽、パソコン関係がメインですが、様々な事を書いていきます。

マルウェアは進化している

セキュリティ

マルウェアは進化しています。セキュリティ対策をすり抜けるようにしている場合があります。そこで、マルウェアの性能を書こうと思います。

 

説明 

セキュリティ企業のウェブサイト、IT系の情報サイト、などの情報をまとめています。

 

セキュリティアプリケーションを攻撃するマルウェアがある

セキュリティアプリケーションを攻撃し、(一部)機能を停止させることをしてきます。Windows向けに関してはすでに、多くのセキュリティアプリケーションを機能停止にさせるマルウェアが多くあります。マルウェア作成ツールにセキュリティアプリケーションを機能停止させる機能をつけられる設定があるので、知識がなくても簡単にセキュリティアプリケーションを機能停止させるマルウェアの作成ができるようになっています。マルウェアからセキュリティアプリケーションを攻撃されても、多くのセキュリティアプリケーションには自分自身を保護して機能停止などさせられないようにする防御機能があります。ですが、それでもセキュリティアプリケーションが負けてしまう場合があります。

 

時間をあけて悪意のある動作をする場合がある

セキュリティアプリケーションには、マルウェアと思われる動作をしているかを判断して検知する機能があります(無い場合もあります)。ですが、短時間でリスクがあるかなどを判断している場合が多いので、時間をあけて悪意のある動作を分散化させて検知を逃れている場合があります。数分の場合がありますし、数日や数週間の場合もあるようです。そこまで長期間の動作を記録していたら、過去の記録を確認する処理などで動作が遅くなりますし、大量に記録するので保存容量を多く使用してしまいます。現実的ではありません。

 

サンドボックスを回避するマルウェアがある

サンドボックスを回避するマルウェアが増えています。マルウェアにはサンドボックスで実行されていることを検知する機能があり、サンドボックスで実行されている時はマルウェアの動作をせずに、サンドボックスで実行されていない時に情報を盗むなどの活動を開始することで、サンドボックスで実行中に検知されることを回避しています。

サンドボックスの検知方法は、ビデオカードやマウスドライバ、特定のレジストリエントリ、システムサービス、アセンブラコード、通信ポート、などを確認しているそうです。

 

OSを初期化(リカバリ)しても消えないマルウェアがある

OSを初期化しても消えないマルウェアがあり、増えているようです。ブートセクタに感染していることが原因です。

アドウェア系が多いようで、アドウェアを開発している企業が開発しているとされています。

 

ファームウェアに感染するマルウェアがある

ファームウェアに感染するマルウェアがあります。ファームウェアに感染するとセキュリティアプリでは検知や除去することができません。運よく検知できたとしても、除去は不可能です。OSをクリーンインストールしてもファームウェアは初期化されないので、どうすることもできません。ファームウェアを上書きすれば消えるかもしれませんが...。

 

GPUで動作するマルウェアがある

GPUで動作するマルウェアはCPUで動作するマルウェアと違って、セキュリティアプリケーションでは検知できません(又は困難です)。セキュリティアプリケーションはCPUは監視していますがGPUは監視していないからです。一部のセキュリティアプリケーションはGPUを監視する機能があるかもしれません。

 

メモリだけで動作するマルウェアがある

実行ファイルなどのマルウェアファイルが無くても、動作するマルウェアが登場しています。レジストリマルウェア情報を書き込んでおいて、パソコンを起動する時に自動で読み込まれるので、その時にマルウェアが動作するものもあります。

 

実行ファイル(exe)を圧縮して検知されにくくしている

パッカーと呼ばれるもので実行ファイルを圧縮している場合があります。圧縮されている場合は、セキュリティアプリケーションが検知しにくくなります。この技術は古くからあります。

 

必要なくなったら自らを削除するマルウェアがある

感染していたことが分からないように、必要なくなったら自らを削除するマルウェアがあります。

 

マスターブートレコード(MBR)に感染するマルウェアがある

マスターブートレコード(MBR)はオペレーティングシステム(OS)が実行する前に実行されます。深い所まで感染できるので、セキュリティアプリケーションでは検知や除去できなかったり、コンピュータを制御されやすかったりなどがあります。
マスターブートレコードに感染させるのは難しく、高度な知識を持ってないとできないそうです。

 

404応答にマルウェアの命令を隠す攻撃手法がある

ウェブページが見つからなかった時に404と書かれたメッセージが表示されますが、ここにマルウェアに感染させるための命令が埋め込まれていると感染します。

広告を非表示にする