XWormやNotDoorのような目に見えないマルウェアからPCを守る方法

サイバーセキュリティは日常的な問題となっているが、 多くの脅威が依然として見過ごされている ユーザーや防御ツールに対する脅威。これらの脅威の中には、いわゆる「目に見えないマルウェア」と呼ばれる一連の技術があり、その目的は単純です。 目立つ場所に隠れて痕跡を隠す できるだけ長く活動し続けること。

SFの話ではなく、すでに流通している方法について話している。 システムに溶け込むルートキット アップ モバイルトロイの木馬 銀行の画面を偽装したり、私たちが何も触れずにスパイ活動を行ったりすることが可能です。そして、もちろん、 ゼロクリック攻撃 極端なケースでは、OS の再インストール後もファームウェアが存続します。

「目に見えないマルウェア」とはどういう意味でしょうか?

「見えない」というのは、コードが文字通り見えないということではなく、 隠蔽技術が適用される 感染したシステム上のマルウェアの変更や活動を隠蔽することを目的とした。この定義には、例えば以下が含まれる。 ルートキットシステムを操作して、ファイル、プロセス、レジストリ キー、または接続を隠します。

実際には、これらの株は システムタスクを引き継ぐ 疑いを抱かせることなくパフォーマンスを低下させる。アンチウイルスソフトが異常な動作を検知した場合でも、不可視メカニズムによって 検出を回避または延期する例えば、汚染されたファイルを一時的に別のドライブに移動したり、別のドライブにクローンを作成したり、 ファイルのサイズを隠す これらすべてが、 検出エンジン および法医学的分析。

どのように侵入し、どのように隠れるか

「目に見えないウイルス」、あるいはもっと広義にはステルス技術を使用するマルウェアは、いくつかの形で侵入する可能性があります。 悪意のある添付ファイル メール、怪しいウェブサイトからのダウンロード、ソフトウェア 未確認、人気のユーティリティやインストールを装った詐欺アプリ ソーシャルネットワークやメッセージ上のリンク.

一旦中に入ると、彼の戦略は明らかです。 目に見えないまま残るいくつかの亜種は、スキャンを疑うと感染ファイルから「移動」し、自分自身を別の場所にコピーして、 きれいな代替品 アラートを回避するために、メタデータ、ファイルサイズ、システムエントリを隠すものもあり、 検出エンジン と ファイルの復元 感染後。

ルートキット：定義、リスク、そして合法的な使用方法

環境の起源 UNIXルートキットはシステム自体のツールのセット（例えば ps、netstat、passwd）侵入者によって改変された 検出されずにルートアクセスを維持するスーパーユーザーである「ルート」という名称の由来は、Windowsやその他のシステムでも変わりません。 要素を隠すように設計されたプログラム (ファイル、プロセス、レジストリ キー、メモリ、さらには接続) をオペレーティング システムまたはセキュリティ アプリケーションに送信します。

ステルス技術の使用自体は、本質的に悪意のあるものではありません。例えば、以下のような正当な目的に利用することも可能です。 企業監視、知的財産の保護、またはユーザーエラーの防止などである。問題は、これらの機能が次のような用途に適用されるときに生じる。 マルウェア、バックドア、犯罪行為を隠蔽するこれは、注目を集めずに稼働時間を最大化しようとする現在のサイバー犯罪の動向と一致しています。

ルートキットを検出して軽減する方法

絶対確実なテクニックは存在しないので、最善の戦略は アプローチを組み合わせる およびツール。古典的な方法と高度な方法には以下のものがあります。

• シグネチャ検出: 既知のマルウェアカタログをスキャンして比較します。これは、 すでにカタログ化されている変種未発表のものを除く。
• ヒューリスティックまたは行動ベース: 識別する 通常の活動からの逸脱 システムの、新しいファミリーや変異したファミリーを発見するのに役立ちます。
• 比較による検出: システムが報告するものと、 低レベル矛盾があれば、隠蔽が疑われる。
• 誠実さ: ファイルとメモリを 信頼できる参照状態 （ベースライン）変更を表示します。

予防レベルでは、 優れたマルウェア対策 アクティブで更新された、使用 ファイアウォール、 保つ 最新のシステムとアプリケーション パッチを適用し、権限を制限する。場合によっては、特定の感染を検出するために、 外部メディアから起動する そして侵入されたシステムの「外側から」スキャンするが、それでも一部の家族は 再統合する その他のシステム ファイル内。

目に見えないマルウェアの2つの事例：XWormとNotDoor

これらは、現在最も危険な目に見えないマルウェアの脅威かもしれません。これらの脅威から身を守るには、まずそれらをよく理解することが重要です。

エックスワーム

エックスワーム これはよく知られたマルウェアですが、最近になって、正規のファイル名を装うことによって驚くべき進化を遂げました。これにより、 無害なアプリケーションとして偽装するユーザーとシステムの両方の信頼を獲得します。

攻撃は 隠し.lnkファイル 通常、フィッシング キャンペーンを通じて配布され、悪意のある PowerShell コマンドを実行し、テキスト ファイルをシステムの一時ディレクトリにダウンロードし、リモート サーバーから discord.exe と呼ばれる偽の実行可能ファイルを起動します。

XWormは一度PCに侵入すると、 あらゆる種類のリモートコマンドを実行する ファイルのダウンロードや URL リダイレクトから DDoS 攻撃まで。

ドアなし

現在最も深刻な目に見えないマルウェアの脅威の1つは ドアなしロシアのハッカーによって開発されたこの高度なウイルスのターゲットは、 Outlookユーザー機密データを窃取し、侵入したシステムを完全に制御することも可能です。このマルウェアの開発は、ロシアの著名なサイバースパイ集団APT28によるものとされています。

NotDoorは Visual Basic for Applications (VBA) で書かれた隠れたマルウェアは、受信メールを特定のキーワードで監視する機能を備えています。実際には、プログラム自身の機能を利用して自身を起動します。その後、攻撃者が制御する一時ファイルを保存するための隠しディレクトリを作成します。

自分を守るためのベストプラクティス（そしてすでに感染してしまった場合の対処法）

効果的な防御は習慣とテクノロジーの組み合わせです。「常識」を超えた、 手順とツール PCとモバイルの実際のリスクを軽減します。

• アプリは公式ソースからのみインストールする 開発者、権限、コメントを確認してください。メッセージ、ソーシャルメディア、または不明なウェブサイト内のリンクには注意してください。
• 信頼できるセキュリティソリューションを使用する モバイルとPCで悪質なアプリを検出するだけでなく、警告も表示します。 不審な行動.
• すべてを最新の状態に保つ: システム、ブラウザ、アプリケーション。パッチはカット 搾取ルート 攻撃者の間で非常に人気があります。
• XNUMX段階認証プロセスを有効にする 銀行、郵便、そして重要なサービスにおいて。絶対確実ではありませんが、 追加の障壁.
• アクセシビリティの権限と通知を監視する; 単純なユーティリティがフルコントロールを要求する場合、 何かがおかしい.
• 定期的に携帯電話を再起動または電源をオフにする; 毎週の完全なシャットダウンにより、 記憶インプラント 継続が困難になります。
• ファイアウォールを有効にして設定する絶対に必要な場合を除き、管理者権限を持つアカウントの使用を制限します。

目に見えないマルウェア感染（モバイルの速度低下、不当な発熱、異常な再起動など）が疑われる場合は、 インストールした覚えのないアプリ または異常な行動): 疑わしいアプリを削除するモバイルをセーフモードで起動してフルスキャンを実行し、パスワードを変更します 他のデバイス銀行に通知し、 工場リセット 兆候が続く場合は、マルウェアに制御されずにスキャンするために、PC で外部メディアから起動することを検討してください。

目に見えないマルウェアが私たちのリズムを弄ぶことを覚えておいてください。 最小限のノイズ 外科的攻撃を伴う。これは抽象的な脅威ではなく、 隠蔽技術 バンキング型トロイの木馬、スパイウェア、個人情報窃盗、ファームウェアの永続化など、あらゆるものを可能にするもの。習慣を強化し、適切なツールを選択すれば、 一足先 目に見えないもの。