ルートキットは依然として脅威です?

<h1>ルートキットは依然として脅威です</h1>
<blockquote>アクセスを可能にし、その後その存在をマスクするように設計された悪意のあるコンピューターソフトウェアのコレクション、または管理者の特権なしでは許可されていないソフトウェアの一部に.</blockquote>
<h2>rootkits:進化と検出方法</h2>
<p>攻撃者の兵器庫の他のツールと比較して、ルートキットは他のタイプのマルウェアよりも一般的ではありません. たとえば、BitDefenderによると、RootKitsは検出された全体のマルウェアの1%未満を占めています. とはいえ、検出のすべてのインスタンスは有名な攻撃に関連付けられています. これらには、たとえば、サイバー犯罪者がRemsec rootkitを配布したAPT Group Strider(Projectauron、またはG0041とも呼ばれる)のサイバースピオンキャンペーンが含まれます。. グループは、暗号化方法に関する情報を収集しました – 政府機関への攻撃で、攻撃者は暗号化キー、構成ファイルを盗み、暗号化キーインフラストラクチャサーバーのIPアドレスを収集しました. サイバー犯罪者は、ロシア、ベルギー、中国、イラン、スウェーデン、ルワンダの組織を標的にした.</p>
<p>開発の複雑さにより、rootkitsは頻繁に使用されませんが、デバイスで悪意のあるアクティビティを隠し、妥協のタイムリーな検出を困難にすることができるため、脅威をもたらします。. 最新のオペレーティングシステムでそれらに対する保護が導入されているにもかかわらず、rootkitsはまだ攻撃で正常に使用されています. この研究を準備する際に、過去10年間に専門家によって発見された最も有名な16のルートキットファミリーを分析しました. ルートキットがどのように進化したか、誰によって、それらが現在使用されているか、それらを検出する方法を説明し、最終的に攻撃者が将来使用するかどうかを予測することをお伝えします.</p>
<h2>rootkitとは何ですか?</h2>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/icons/info.png” /></p>
<p><b>rootkitは、システム内のマルウェアの存在を隠すことができるプログラム(または一連のプログラム)です.</b></p>
<p>ルートキットは、多くの場合、攻撃者に侵害されたホストへのリモートアクセスを提供する、ネットワークトラフィックの傍受、ユーザーへのスパイ、キーストロークの記録、認証情報の盗み、または鉱山の鉱山のベースとしてホストの使用など、複数の能力を持つことができる多機能マルウェアの一部であることがよくあります。 DDOS攻撃を支援します. rootkitのタスクは、侵害されたマシンでこの非合法的な活動をマスクすることです.</p>
<p>得られた特権のレベルによるルートキットの種類:</p>
<ul>
<li>カーネルモードルートキット. <ul>
<li>このようなルートキットは、カーネルレベルで動作するオペレーティングシステムと同じ特権を持っています. これらは、デバイスドライバーまたはロード可能なモジュールとして設計されています. ソースコードのエラーはシステムの安定性に影響を与える可能性があるため、このようなルートキットを開発することは困難です。. これらのルートキットは、サンプルの38%を占めています.</li>
</ul><ul>
<li>彼らはカーネルモードのルートキットよりも開発が簡単で、設計ではより少ない精度と知識が必要なので、大量攻撃でより一般的に使用されます。. ユーザーモードのルートキットは、ほとんどのアプリケーションと同じ特権で動作します. システムコールを傍受し、APIとアプリケーションによって返された値を交換して、マシンの制御を獲得できます. そのようなルートキットのシェアは31%でした.</li>
</ul>
<p>Necurs、Flame、Dirtymoeなどのいくつかのルートキットは、両方の操作モードを組み合わせて両方のレベルで動作するように設計されています. 彼らはサンプルの31%を占めました.</p>
<p>ユーザーモードのルートキットへの切り替えは、rootkit開発者がよく使用する傾向です. たとえば、Sophosの研究者は、ZeroAccess rootkitの開発者がこのモードの使用に完全に切り替えたことを発見しました. 私たちの意見では、そのような行動は以下にかかっているかもしれません:</p>
<ul>
<li>前述のように、カーネルモードのルートキットは気付かれていないシステムで開発および実装することが困難であるため、攻撃者は十分なレベルの能力を持っていない可能性があり、代わりにより簡単なルートを選択する可能性があります。.</li>
<li>このようなルートキットを開発または変更するには多くの時間がかかります。これにより、時間の制約が困難になる可能性があります。それが注目され、セキュリティの更新がインストールされる前に、会社の境界線の脆弱性を迅速に活用する必要があります。. このため、攻撃者は迅速に行動することに慣れているため:エクスプロイトがそれを利用する最初の試みに識別される瞬間から1日未満かかり、グループに信頼できる、すぐに使用できるツールがない場合、今回は明らかにそれに取り組むのに十分ではありません.</li>
<li>カーネルモードルートキットのソースコードのエラーは、OSに回復不可能な変更を引き起こす可能性があり、侵入が明らかになり、攻撃を妨害することができます.</li>
<li>さらに、防衛システムが効果的でないという自信がある場合、攻撃を過度に複雑にするポイントはありません. 会社への入場点が見つかり、知性が境界線が弱く保護されており、セキュリティシステムに大きな欠陥があることを示した場合、カーネルレベルのルートキットを使用することは不合理で過剰です。発達し、それが合併症につながる可能性があります.</li>
</ul>
<p>特にカーネルレベルでルートキットが開発が非常に困難な場合、誰がそれらを使用し続け、なぜ? 答えは明確です。これらは、攻撃の結果がそれを組織するのに費やされたすべての努力、十分な技術的資格と財務能力を持つ戦略的グループを超えるグループです. これらは、準備のコストをカバーしながら、コストを抽出したり、顧客の利益に関係なくインフラストラクチャの破壊的な行動を顧客の利益に基づいて破壊的な行動を実行する適切なグループである可能性があります。.</p>
<h2>ルートキットの進化</h2>
<p>rootkitsはもともとUNIXシステムへの攻撃で使用され、最大の特権を取得し、コマンドをルートユーザーとして実行するため、その名前. しかし、1999年には、Windowsオペレーティングシステム向けに設計された最初のRootKitが登場しました-ntrootkit. その後、MacOSの攻撃で使用できるRootKitsも表示されました.</p>
<p>攻撃のルートキットの最も有名なユースケースは、StuxNetマルウェアを広める2010年のキャンペーンです. STUXNETを使用して、攻撃者は密かにデータを収集し、実行可能ファイルを侵害したノードにダウンロードしました. 調査により、このマルウェアの作成における米国とイスラエルのintelligence報機関の両方の関与が明らかになり、そのようなコラボレーションの主な目的は、イランの核システムの発展を停止し、そのインフラストラクチャを物理的に破壊することでした。.</p>
<p>過去10年間で、データを求めているサイバー犯罪者がrootkitsを使用する可能性が最も高くなりました. 中東のサイバースピオンキャンペーンの1つとして、攻撃者はFlame rootkitを使用し、被害者のネットワークトラフィックを追跡し、KeyLogger関数を実行し、スクリーンショットを撮影しました。.</p>
<p>rootkitsを使用して、情報をひそかに抽出してリモートアクセスを取得することはできません. 攻撃者は、DirtyMoe rootKitの場合のように、暗号化モジュールを隠すなど、直接的な経済的利益のためにそれらを使用することもできます。. Avastによると、2021年には、このrootkitに感染したサイバー犯罪者が100,000を超えるコンピューターを分布していますが、2020年には被害者の数は10,000を超えませんでした. Windowsコンピューターへの分布を容易にする新しいモジュールを追加すると、被害者の数が急激に増加しました. モジュールは、オープンSMBポートを備えたコンピューターをインターネットをスキャンし、その後、リモートアクセスのためにブルート強化された資格情報をスキャンしました.</p>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/icons/info.png” /></p>
<h3>興味深い事実</h3>
<p><b>DirtyMoe RootKitドライバーのソースコードでは、Avastスペシャリストが多くのエラーを特定しました。. マルウェアモジュールはDelphiで記述されているため、Antivirusツールで簡単に検出できるため、DirtyMoeの開発者はVMProtectを使用してソースコードを難読化しました。.</b></p>
<p>CapcomによるStreet Fighter Vの開発者と2016年に発生した事件など、不注意にルートキットを作成する場合があります。. 同社は、サードパーティのコード実行(SMEP)に対するカーネルレベルの保護を無効にしたアップデートをリリースし、攻撃者がプレーヤーのコンピューターへのリモートアクセスを取得できるようにしました. 丁寧なユーザーは、インストールプロセス中にシステムレベルの特権が要求されたため、このアップデートのインストールを中止しました.</p>
<p>Moriya rootkitは、少なくとも2018年以来、Tunnelsnake&rsquo;starged Cyber​​-Espionageキャンペーンで使用されています. 犠牲者のリストには、とりわけ、東南アジアとアフリカの2つの外交組織が含まれています. マルウェアの主な目標は、サイバー犯罪者に被害者のITインフラストラクチャへのリモートアクセスを提供し、さらに破壊的なコードをダウンロードして実行できるようにすることです。. rootkitはWindowsマシンに焦点を当てており、ユーザーモードとカーネルモードを組み合わせています. 最初の暴行のラインとして、攻撃者はインターネットからアクセス可能なサーバーの脆弱性を利用しました。おそらくCVE-2017-7269脆弱性. RootKit開発者は、ドライバーとPatchGuardモジュールの必須の署名検証をバイパスするためのメカニズムを利用しています. 後者の技術は、システムのコアに浸透しようとすると、BSOD(死のブルースクリーン)を引き起こします. これを行うには、VirtualBox仮想マシンにドライバーを使用しました. さらに、rootkitはコマンドおよび制御サーバーへの接続を開始しません。これは、それを非表示にするのに役立ちます.</p>
<p>Remsec(Cremes)Rootkitは、サイバースピオンの目的でStrider Group(Projectsauron、G0041)が使用するモジュラーマルウェアです。. 攻撃者は、暗号化方法を使用してトラフィックを保護するソフトウェアに関する情報に興味があります. 彼らは、政府機関、研究センター、通信会社を含む被害者を慎重に選択します. その後、ゼロデイの脆弱性を使用して、インフラストラクチャに浸透します. Remsec rootkitはカーネルモードで実行され、Windowsに焦点を当てています. そのモジュールにより、攻撃者はリモートアクセスを取得し、マルウェアをダウンロードし、ネットワークトラフィックをタップし、キーボードにキーストロークを記録し、受信したデータを攻撃者のサーバーに送信できます。. ほとんどのモジュールはLUA言語で書かれています. ESETの研究者は、合法的なウイルス対策カーネルモードドライバーがルートキットを展開するために使用されることを発見しました. システム内でのアクティビティを隠すために、REMSECがAPI呼び出しまたはシステム操作を傍受およびハイジャックしないことは注目に値します。代わりに、マルウェア開発者は、コードを実行するために単純に上昇する特権を必要としていました.</p>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/icons/info.png” /></p>
<p><b>以前は、rootkitsのタスクは、システムで最大の特権を取得することでした(管理者またはシステムの特権). 今、彼らはさらに悪意のある活動の検出を防ぐことに集中しています.</b></p>
<p>セキュリティツールの開発者だけでなく、OSメーカーもルートキットと積極的に戦っています. たとえば、Windows10への大規模な移行は、すでに既存のルートキットに影響を与えました. OSのこのバージョンは、ルートキットに対抗するためのさまざまな手段を提供します. これについては、Dark Webが提供するものについて詳しく説明します. ただし、サイバー犯罪者も新しいテクノロジーを開発しています. たとえば、比較的新しいMoriya rootkitは、OSに組み込まれたセキュリティツールをバイパスするためのメカニズムを既に提供しています。. RootKitsの開発には、ターゲットを絞ったオペレーティングシステムを理解し、リバースエンジニアリングとプログラミングの知識と経験を持っている高度に資格のある専門家が含まれます。. リバースエンジニアリング方法を使用して、マルウェア開発者は、ルートキットの実装を可能にする可能性のあるオペレーティングシステムの機能を特定します. 彼らの作成に関連するすべての困難にもかかわらず、新しいルートキットが定期的に表示されます.</p>
<p>上記から、ルートキットは次のように非常に危険です。</p>
<ul>
<li>彼らは攻撃者にシステム内の高い特権を提供します。</li>
<li>彼らは悪意のある活動を検出することをはるかに困難にします。</li>
<li>それらは検出して削除するのが困難です。</li>
<li>彼らの存在はしばしば、よく準備されたサイバーグループによる標的攻撃を示しています。つまり、攻撃は気付かれていませんが、会社のインフラストラクチャは攻撃者の完全な制御下にある可能性があります。.</li>
</ul>
<p>ほとんどの場合、攻撃はデータの妥協だけでなく、実際の金銭的損害にもつながります。これは、いくつかの理由で評価するのが非常に困難です。</p>
<ul>
<li>高度な熟練した攻撃者が関与する攻撃の結果は、特に攻撃者が何年もの間会社のネットワークにいた場合、長期間にわたって自分自身を現れることができます。</li>
<li>攻撃の結果を排除するすべてのコストを計算する必要があり、場合によっては、rootkitを削除して感染させることができないインフラストラクチャハードウェアをアップグレードする必要があります。</li>
<li>攻撃がデータを取得することを目的とした場合、金銭的条件で、当該盗まれたデータの価値と、そのようなデータが漏れているという損害を推定する必要があります.</li>
</ul>
<h3>2011年以来のルートキットの外観の年表</h3>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/article-324619/PT_Rootkit_Timeline-of-appearance_ENG_v.01.3.jpg” /></p>
<h2>攻撃の背後にいる人?</h2>
<p>ルートキットの開発に関連する可能性と困難の全範囲を考えると、それらはAPTグループによって最も頻繁に使用されます. このレベルでの攻撃者の主な動機は、データ収集とサイバーエピオンです. たとえば、方程式グループは、中東のサイバースピオンキャンペーンで炎のルートキットを積極的に使用しました. ちなみに、私たちが調査したrootkitのすべての家族の中で、ケースの77%で、それらを配布する攻撃者はデータを取得することを目指していました. ケースの約3分の1(31%)で、犯罪者はYingmobやTa505などの経済的利益を求めました. 彼らの攻撃は大規模であり、業界固有ではなく、YINGMOBが個人をターゲットにしていたため. わずか15%の症例で報告されている最も希少な動機は、被害者会社のインフラストラクチャに感染して再利用して、その後の攻撃を実行することです.</p>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/icons/chart.png” /></p>
<p><b>調査したルートキットの56%が標的攻撃で使用されました.</b></p>
<p>ルートキットを広める主な方法(ケースの85%)により、サイバー犯罪者はフィッシングメッセージの送信、正当なサイトを模倣する偽のWebサイトやアプリケーションの作成など、ソーシャルエンジニアリング方法を使用します。. たとえば、Scranos rootkitのターゲットを絞った個人を配布する攻撃者は、ハッキングされたソフトウェアとフィッシングの郵送を配布方法として選択しました. このマルウェアは2019年に特にアクティブでした. このキャンペーンの犠牲者は、中国、インド、ルーマニア、フランス、イタリア、ブラジル、インドネシアで発見されました. サイバー犯罪者は、経済的利益とデータ収集によって動機付けられました. 彼らは主に、ソーシャルネットワークのためのインターネットバンキングへのアクセスと犯罪者にとって関心のある他のリソースのためのCookieと資格に興味がありました. マルウェアは、サイバー犯罪者にリモートアクセスとデータを収集する機能を提供するだけでなく、ブートローダーを正当なSVCHOSTに注入しました。.exeプロセス. ほとんどの場合、サイバークリミナルはアドウェアをダウンロードするため、このマルウェアに感染しているかどうかを確認するには、Facebookや同様のソーシャルネットワーク、およびビデオホスティングサイトYouTubeでアクティビティを分析します. あなたが開始しなかったアクションを見つけた場合、これは誰かがあなたのアカウントを制御していることの兆候であり、マルウェアのシステムを確認する必要があります. 別の興味深い点:Scranosはコンピューターをシャットダウンする前にディスクに上書きし、スタートアップのレジストリにキーを作成します.</p>
<p>図1. rootkit分布方法miter att&ck分類(rootkitsのシェア)</p>
<p>RootKitファミリの分析では、44%の症例でサイバー犯罪者がこのマルウェアを使用して政府機関を攻撃した一方で、そのような攻撃は科学的および教育機関ではわずかに一般的ではなかったことが示されました。. これは主に重要な犯罪的動機によるものです。これらの業界の組織によって処理された情報は、攻撃者にとって大きな価値があります.</p>
<p> <img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/article-324619/Image_2_eng.PNG” /></p>
<p>ルートキットの19%が金融機関に対する攻撃で使用されました. 銀行ターゲットのルートキットの一例はクロノスです. 犠牲者には、英国とインドの銀行が含まれていました.</p>
<p>ルートキットの半分以上(56%)も個人への攻撃で使用されています. これらのターゲットを絞ったハッキン​​グは、主に、より大きなサイバーエピオンキャンペーンの構成要素として、サイバー犯罪者にとって関心のある組織の高官、外交官、または従業員に対する攻撃で構成されています.</p>
<h2>ダークウェブが提供するもの</h2>
<p>2020年のDEFCON会議での専門家ビル・デミルカピは、Windows用の高品質のルートキットを書くのは非常に簡単であると冗談を言った。必要なのは、CまたはC ++でプログラムし、プロジェクトを構築する方法を知り、エクスプロイトを開発し、リバースエンジニアリングを行い、Windowsプラットフォーム上のデバイスのアーキテクチャについて深い知識を得ることができることです。. 攻撃を成功させるには、破壊的な目標に脆弱なドライバーを見つけて使用し、静かにrootkit自体を注入してインストールする必要があります。.</p>
<p>rootkitの開発は複雑なプロセスですが、インターネット全体のトピックに関する多くの情報があります。. 参照データに加えて、「予算用」のマルウェアの既製のバリエーションと、ターゲットドライバーにコードを追加するか、新しいプロジェクトを作成する開発者の両方を見つけることができます。 」.</p>
<p>ダークウェブで最も人気のあるロシア語と英語の10のフォーラムを分析し、ルートキットを購入および販売することを申し出ました。. 販売のための広告のほとんどは、カスタムルートキットを備えています. 完全なルートキットのコストは45,000米ドルから100,000米ドルの範囲で、操作モード、ターゲットOS、使用条件、および追加機能に依存します.</p>
<p><img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/icons/info.png” /></p>
<p><b>ダークウェブ上のルートキットの平均コストは2,800米ドルです.</b></p>
<p>たとえば、100〜200米ドルの場合、買い手は一時的な使用のためにルートキットを取得します。つまり、たとえば1か月以内に使用できます。.</p>
図3. 販売中のルートキットのコストの比率
<p>時間制限のないルートキットはより高価です. たとえば、2014年には、インターネットバンキングへのアクセスのためにデータを収集するKronos Rootkitが7,000米ドルで販売されました . このようなルートキットは、APTグループによる標的攻撃で最も頻繁に使用されます.</p>
<p>場合によっては、マルウェア開発者はrootkitのカスタマイズを提供し、サービスサポートを提供します.</p>
<p> <img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/article-324619/4_ENG.jpg” /></p>
<p>rootkitの購入アナウンスは一般に、次の機能を求めます:リモートアクセスの提供、ファイル、プロセス、ネットワークアクティビティの隠蔽.</p>
<p> <img src=”https://www.ptsecurity.com/upload/corporate/ww-en/images/analytics/article-324619/5_ENG.jpg” /></p>
<p>ケースの67%で、発表には、ルートキットがWindowsに合わせて調整する必要があるという要件が含まれており、実際の攻撃では、Windowsベースのルートキットも最も頻繁に発生します。. 一部のルートキットは一度に複数のオペレーティングシステムをサポートしていることに注意してください.</p>
図6. 調査したサンプル間のOS固有のルートキットのシェア
<p>2006年、Windows開発者は、ルートキットによる損傷とその分布の範囲を評価した後、Windows Vistaの新しいバージョンにカーネルパッチ保護(KPP)コンポーネントを追加しました. このモジュールは、ハードウェアとソフトウェアベンダーにドライバーにデジタルに署名することを義務付けました. その後、サイバー犯罪者がこのチェックをバイパスすることができたため、ドライバー、コンポーネントの整合性、信頼性の高いブートローダーの構成、ブートプロセスの記録と評価によってルートキットを防ぐように設計されたWindows 10に多くの機能が提供されました。. それにもかかわらず、これらの革新は保護を保証するものでもありません.</p>
<h2>検出方法</h2>
<p>システムのルートキットを検出するために、スペシャリストはシステムの署名と行動分析に頼り、その完全性を確認する. 欧州ネットワークおよび情報セキュリティ機関(ENISA)によると、ほとんどの場合、rootkitは侵害されたシステムでクリーンなインストールを実行することによってのみ削除できます。.</p>
<p>ルートキットを検出するには、次のことができます。</p>
<ul>
<li>システムの整合性を確認します。</li>
<li>異常のネットワークトラフィックを分析します。</li>
<li>rootkitスキャナーを使用します。</li>
<li>エンドノードで悪意のあるアクティビティを検出するためのツールを使用します。これは、インストールの段階でルートキットを検出するのに役立ちます。</li>
<li>設置段階および操作中にrootkit検出にサンドボックスソリューションを使用します.</li>
</ul>
<p>サンドボックスは、システムへのインストールの段階でルートキットを識別するのに役立ちます。この時点で、攻撃者は多くの悪意のあるまたは少なくとも疑わしいアクションを実行するからです。. エージェントレスサンドボックスはルートキットのロードを妨げません。また、ビルトインアナライザーは、潜在的に危険なサードパーティの負荷を警告します. 悪意のあるプロセスは中断することなく実行され、保護ツールの存在のチェックがサンドボックスを検出しないため、攻撃者はすでに検出されている疑いを持っていません. ちなみに、PT ESCの専門家は、サンドボックスを使用してルートキットを検出するためのすべての手法について詳しく知ることができる2021年10月に詳細な調査をリリースします。.</p>
<p>rootkit感染の可能性を最小限に抑えるために、セキュリティの更新を定期的に監視およびインストールし、信頼できるソースからのみプログラムをインストールし、インストール前にデジタル署名と証明書を確認し、アンチウイルスツールの署名を定期的に更新する必要があります。 「古い」ルートキットの.</p>
<h2>ルートキットの未来</h2>
<p>私たちは、ルートキットがすぐにサイバー犯罪者のツールキットから消えないと信じています. PT ESCスペシャリストは、操作のメカニズムがすでに既知のマルウェアとは異なるルートキットの新しいバージョンの出現に注意してください。. ルートキットを使用することの利点 – 特権モードでコードを実行し、セキュリティツールから隠すことができ、長期間オンラインであることは、犯罪者がそのようなツールを拒否するにはあまりにも重要です. 同時に、ルートキットは、そのようなツールを開発するスキルを持っている高度に資格のあるグループと、ダークウェブでルートキットを購入するのに十分な財源を持つグループによって引き続き使用されます。. これは、ルートキットの主な危険は、ターゲット組織にとって最も損害を与える実際の攻撃または一連のイベントまで、複雑なターゲット攻撃を隠すことであることを意味します。.</p>
関連記事
<ul>
<li>2020年1月20日サイバーセキュリティ2019-2020</li>
<li>2022年4月21日サイバーセキュリティの脅威スケープ:2021年のレビュー</li>
<li>2019年12月2日サイバーセキュリティの脅威スケープ:2019年第3四半期</li>
</ul>
<h2>rootkits</h2>
<p>マルウェアの著者は、ルートキットを使用してデバイスのマルウェアを非表示にし、マルウェアができるだけ長く持続できるようにします. 成功したrootkitは、検出されない場合、何年もの間その場に留まる可能性があります. この間、情報とリソースを盗みます.</p>
<h2>rootkitsの仕組み</h2>
<p>rootkits標準オペレーティングシステムプロセスを傍受および変更します. rootkitがデバイスに感染した後、デバイスがそれ自体について報告する情報を信頼することはできません.</p>
<p>実行中のすべてのプログラムをリストするようにデバイスに依頼した場合、rootkitはあなたが知らないプログラムを秘密に削除するかもしれません. rootkitはすべてを隠すことです. 彼らは自分自身と悪意のあるアクティビティの両方をデバイスに隠したいと思っています.</p>
<p>多くの最新のマルウェアファミリは、ルートキットを使用して、検出と除去を避けようとします。</p>
<h2>ルートキットから保護する方法</h2>
<p>他の種類のマルウェアと同様に、ルートキットを避けるための最良の方法は、そもそもルートキットがインストールされないようにすることです.</p>
<ul>
<li>最新のアップデートをオペレーティングシステムとアプリに適用します.</li>
<li>従業員を教育して、疑わしいウェブサイトや電子メールに注意することができるように.</li>
<li>重要なファイルを定期的にバックアップします. 3-2-1ルールを使用します. データの3つのバックアップ、2つの異なるストレージタイプ、および少なくとも1つのバックアップオフサイトに保管してください.</li>
</ul>
<h3>デバイスにルートキットがあると思う場合はどうなりますか?</h3>
<p>Microsoft Securityソフトウェアには、rootkitsを削除するために特別に設計された多くのテクノロジーが含まれています. rootkitがあると思われる場合は、既知の信頼できる環境への起動に役立つ追加のツールが必要になる場合があります.</p>
<p>Microsoft DefenderオフラインはWindows Securityアプリから起動でき、Microsoftから最新のアンチマルウェアアップデートを持っています. マルウェア感染の可能性があるため、正しく機能していないデバイスで使用するように設計されています.</p>
<p>Windows10のシステムガードは、システムの完全性に影響を与えるルートキットと脅威から保護します.</p>
<h3>rootkitを削除できない場合はどうなりますか?</h3>
<p>問題が続く場合は、オペレーティングシステムとセキュリティソフトウェアを再インストールすることを強くお勧めします. 次に、バックアップからデータを復元します.</p>
<h2>フィードバック</h2>
<p>フィードバックを送信して表示します</p>
<h2>新しいuefi rootkitの発見は醜い真実を暴露します:攻撃は私たちには見えません</h2>
<h2>彼らはそれほどまれではないことがわかりました. それらを見つける方法がわかりません.</h2>
<p> ダン・グッディン – 2022年7月26日午後2時6分UTC</p>
<p><img src=”https://cdn.arstechnica.net/wp-content/uploads/2022/07/chip-based-rootkit-800×534.jpeg” alt=”新しいuefi rootkitの発見は醜い真実を暴露します:攻撃は私たちには見えません” /></p>
<h4>読者のコメント</h4>
<p>研究者は、オペレーティングシステムが再インストールされているか、ハードドライブが完全に交換されていても、コンピューターが感染したままであるために、2016年以降にワイルドで使用されている悪意のあるUEFIベースのルートキットです。.</p>
<p>ファームウェアは、ほぼすべての最新のコンピューターを起動するために必要な、低レベルで非常に不透明なファームウェアチェーンであるUEFIを危険にさらします. PCのデバイスファームウェアをオペレーティングシステムで橋渡しするソフトウェアとして、UEFI(統一された拡張可能なファームウェアインターフェイスのショート)はそれ自体がOSです. コンピューターマザーボードにはんだ付けされたSPI接続のフラッシュストレージチップにあり、コードの検査またはパッチを適用することが困難です. コンピューターがオンになったときに最初に実行することであるため、OS、セキュリティアプリ、およびその他のすべてのソフトウェアに影響を与えます。.</p>
<h2>エキゾチック、はい. まれ、いいえ.</h2>
<p>月曜日に、Kasperskyの研究者はCosmicsTrandをプロファイリングしました。これは、会社がそのウイルス対策ソフトウェアを通じて検出および取得した洗練されたUEFIルートキットのセキュリティ会社の名前である. 発見は、野生で使用されていることが知られているそのようなUEFIの脅威のほんの一握りです. 最近まで、研究者は、このキャリバーのUEFIマルウェアを開発するために必要な技術的要求が、ほとんどの脅威アクターの手の届かないところにあると仮定していました。. 現在、KasperskyがCosmicsTrandがCryptoMinerマルウェアとのつながりの可能性を持つ不明な中国語を話すハッキンググループに帰属しているため、結局のところ、このタイプのマルウェアはそれほどまれではないかもしれません。.</p>
<p>「このレポートの最も顕著な側面は、このUEFIインプラントが2016年の終わり以来野生で使用されていたように見えることです。UEFI攻撃が公に説明され始める前に」とKasperskyの研究者は書いています. 「この発見は最後の質問を請います:これが当時攻撃者が使用していたものであるなら、彼らは今日何を使っているのか?” 広告</p>
<p>フェローのセキュリティ会社Qihoo360の研究者は、2017年にRootkitの以前のバリアントについて報告しましたが、Kasperskyや他のほとんどの西洋に拠点を置くセキュリティ会社は気づきませんでした. Kasperskyの新しい研究では、いくつかのギガバイトまたはAsusマザーボードのファームウェア画像に基づいてrootkitがどのように感染したマシンのブートプロセスをハイジャックできるかを詳細に説明しています。. 技術的な基盤は、マルウェアの洗練を証明しています.</p>
<p>ルートキットは、感染するオペレーティングシステムの最も深い領域で実行されるマルウェアの一部です. この戦略的位置を活用して、その存在に関する情報をオペレーティングシステム自体から隠す. 一方、ブートキットは、システムに持続するためにマシンのブートプロセスに感染するマルウェアです. レガシーBIOSの後継者であるUEFIは、コンポーネントがOSのスタートアップにどのように参加できるかを定義する技術標準です。. 2006年頃に導入されたため、最も「最近」のものです. 今日、ほとんどすべてのデバイスがブートプロセスに関してUEFIをサポートしています. ここでの重要なポイントは、UEFIレベルで何かが起こると言うと、オペレーティングシステムがロードされる前にコンピューターが起動しているときに起こることを意味することです。. そのプロセス中に使用されている標準は、実装の詳細に過ぎず、2022年には、とにかくほとんど常にuefiになります.</p>
<p>電子メールで、Kasperskyの研究者であるIvan Kwiatkowskiは次のように書いています。</p>
<blockquote><p>したがって、rootkitは、被害者のマシンに設置されている場所に応じて、ブートキットである場合とそうでない場合があります. Bootkitは、システムの起動に使用されるコンポーネントに感染している限り(ただし、これらが通常どの程度低レベルであるかを考慮すると、通常はrootkitになります)。. ファームウェアは、Bootkitsに感染する可能性のあるコンポーネントの1つですが、他にもあります。. CosmicsTrandはたまたまこれらすべてであることが同時にあります。ステルスルートキット機能を備えており、マザーボードのファームウェア画像の悪意のあるパッチングを通じてブートプロセスに感染します.</p></blockquote>
<p>CosmicsTrandのワークフローは、ブートプロセスで慎重に選択されたポイントに「フック」を設定することで構成されています. フックは、通常の実行フローの変更です. 彼らは通常、攻撃者によって開発された追加のコードの形で来ますが、場合によっては、正当なユーザーが特定の機能の前または後にコードを挿入して新しい機能をもたらすことができます.</p>
<p>CosmicStrandワークフローは次のようになります:</p>
<ul>
<li>最初の感染したファームウェアは、チェーン全体をブートストラップします.</li>
<li>マルウェアはブートマネージャーに悪意のあるフックをセットアップし、実行する前にWindowsのカーネルローダーを変更できるようにします.</li>
<li>OSローダーを改ざんすることにより、攻撃者はWindowsカーネルの関数に別のフックをセットアップすることができます.</li>
<li>OSの通常の起動手順中にその関数が後で呼び出されると、マルウェアは実行フローを最後に制御します.</li>
<li>メモリにシェルコードを展開し、C2サーバーに連絡して実際の悪意のあるペイロードを取得して、被害者のマシンで実行します.</li>
</ul>
<h2>rootkit攻撃:危険な傾向を開始します?</h2>
<img src=”/wp-content/uploads/2022/09/ilobleed-thumbnail-1.png” />
<p>2022年1月上旬、ヒューレットパッカード製品で検出されなかったルートキットは、イランのサイバーセキュリティ会社によって発見されました。. Ilobleedと呼ばれるRootkitは、HP Enterpriseの統合ライトアウト(ILO)組み込みサーバー管理テクノロジーをターゲットにするインプラントです。. ILOはHPサーバーのマザーボードに埋め込まれています.</p>
<blockquote><p>どの脅威俳優がIlobleed攻撃の背後にいるかはまだ不確かですが、それに関与する洗練は、それがおそらく高度な持続的な脅威(APT)俳優であることを示唆しています. とはいえ、この攻撃はIlo rootkitの最初の既知の事件です.</p> </blockquote>
<h2><strong>rootkitとは何ですか?</strong></h2>
<p>アクセスを可能にし、その後その存在をマスクするように設計された悪意のあるコンピューターソフトウェアのコレクション、または管理者の特権なしでは許可されていないソフトウェアの一部に.</p>
<h2><strong>ILOファームウェアは何ですか?</strong></h2>
<p>ILO(統合ライトアウトの略)は、アドオンとしてサーバーまたはワークステーションに追加できるHewlett-Packard Enterpriseハードウェアデバイスです.</p>
<p>ILOデバイスには、独自のプロセッサ、ストレージユニット、RAM、およびネットワークカードがあり、ローカルオペレーティングシステムとは別に実行できるようにします。.</p>
<p>ILOの主な役割は、システム管理者がオフになったときでもリモートシステムに接続する方法を提供し、ファームウェアのアップグレード、セキュリティの更新のインストール、システムのアンインストールまたは再インストールなどのメンテナンスタスクを実行することです。.</p>
<h2><strong>2020年以来のilobleed-ing</strong></h2>
<p>ILOファームウェアの脆弱性を活用する最初の攻撃は、未知の脅威アクターがターゲットを侵害し、ILO内に隠れて再インストールを生き残り、被害者のネットワーク内で持続性を維持したときに2020年に発見されました。. 検出を避けるために、攻撃者はrootkitをILOファームウェア自体のアップグレードモジュールとして偽装し、偽装されたモジュールの偽のUIを作成するために非常に長い時間を費やしました.</p>
<p><strong>図1:Ilobleed RootKit UIと元のILO V2の比較.55 UI</strong></p>
<p>研究者が行った興味深い観察結果の1つは、攻撃者がネットワークを出る途中でサーバーからデータを拭き取った程度であり、ILOファームウェアを上書きしてトロイの木馬を削除できる更新を防ぐことでした。.</p>
<h2><img src=”https://cybersecurityworks.com/howdymanage/uploads/image/ilobleed-timeline-1.png” alt=”イロブル攻撃フロー” width=”” height=”” /></h2>
<p><strong>ステルスモジュール</strong></p>
<p>欠陥はHPファームウェアの最近のバージョンで修正されている可能性がありますが、攻撃者はファームウェアを悪用可能なバージョンにダウングレードできるようです. ユーザーはILOを完全に無効にすることができないため、攻撃者はほとんどのバージョンにアクセスでき、ファームウェアのダウングレードを防ぐためにユーザー対応の非デフォルト設定を備えたGen10シリーズサーバーを除いて.</p>
<p>ILOBLEED ROOTKITは、専用のILOネットワークポートを介して、または管理者の特権を持つユーザーによってサーバーのオペレーティングシステムを介してターゲットデバイスに配信できます。.</p>
<p><strong>図2:マルウェアの影響を受けるモジュール</strong></p>
<h2><strong>愚かなsimplyのエクスプロイト</strong></h2>
<p>ILO 4ファームウェアの脆弱性は、多くの場合、それを攻撃するのがどれほど簡単かのために「愚かなsimpleなエクスプロイト」と呼ばれます。. 研究者によると、脆弱性は、Curlリクエストを上げて29の「A」文字を入力するだけでリモートで悪用される可能性があります.</p>
<p>curl -h「接続:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa</p>
<h2><strong>脆弱性分析</strong></h2>
<p><strong>Ilobleed Rootkitがシステムを侵害することを可能にする脆弱性を以下に詳しく説明します。</strong></p>
<ul>
<li>CVE-2017-12542は、HPE統合ライトアウト4ファームウェアに存在するリモート認証バイパスとコード実行の脆弱性です.</li>
<li>脆弱性が影響するバージョンは次のとおりです。</li>
</ul>
<ul>
<li>脆弱性には、それに関連する弱点列挙を持つためには不十分な情報がありますが、CVSS V3スコアは10(クリティカル)を持っています.</li>
<li>脆弱性は2017年にHPによってパッチされました. 最新のアドバイザリーは、2021年4月にHPEによって共有されました.</li>
<li>エクスプロイトの概念実証スクリプトは公開されています.</li>
</ul>
<p><img src=”https://cybersecurityworks.com/howdymanage/uploads/image/ilobleed-lable.png” alt=”ilobleed rootkitの脆弱性” width=”” height=”” /></p>
<h2><strong>今すぐILOファームウェアをアップグレードしてください!</strong></h2>
<p>2017年以来、管理者にいくつかの推奨事項が公開されています。これには、ネットワークの残りの部分からILOネットワーク接続を分離しようとすること、通常のファームウェアの更新とILOセキュリティスキャンの維持、古いバージョンへのファームウェアのダウングレードを無効にします。.</p>
<p>ILOファームウェアのアップグレードが利用可能であるため、すべての組織が管理パスワードを変更し、ILOネットワークを確保し、ILOファームウェアを定期的に監視することをお勧めします。.</p>
<p><strong>CSWのサービスとしての脆弱性管理(VMAA)は、ITランドスケープ全体を含む完全なカバレッジを提供し、組織インフラストラクチャの脆弱性を検出、優先順位付け、修正し、受賞歴のあるリスクベースの脆弱性管理プラットフォームへのアクセスを提供して、すべての望ましい結果を実際に表示します。 -時間.</strong></p>
<p><strong>CSWのサービスとしての脆弱性管理について詳しく知る(VMAA),</strong></p>
<p><strong>ここをクリックしてください.</strong></p>

  任天堂DSはまだ作られています