コラム : マルウェアの役割とハッキング
2017年11月24日
株式会社Doctor Web Pacific
新しいマルウェアプログラムは、マイクとスピーカーを介してマシンを感染させる可能性があります。
セキュリティ研究者Michael Hanspach氏とMichael Goetz氏は、5台のコンピュータを使用して実験を行い、内蔵マイクとスピーカーを介して秘密のメッシュネットワークに接続しました。あるマシンから別のマシンにデータが送信され、データは外部ネットワークに接続されたコンピュータに到達しました。gizmag.comによれば、彼らは20kHzの周波数と20ビット/秒までの速度で約20メートルの距離でデータを送信することができたということです。
将来、この種の攻撃から保護するために特殊な音響帯域フィルタの使用が可能になります。
しかしどの時点で感染したのでしょうか?データが送信されている場合は、既にマルウェアがコンピュータ上にあることを意味しています。 また、ユーザーがアンチウイルスからの警告を受けていてもマルウェアの起動をしたにもかかわらず、なぜアンチウイルスに責任があるのでしょうか?
結論 この攻撃は、アンチウイルスによる検出を回避することとは無関係で、システムが感染することはありません。
FMラジオ信号を使用して機械を遠隔操作することができます。
プエルトリコで開催されたMALCON 2014で、イスラエルのセキュリティ研究者たちは、近くに設置された携帯電話を使用して、エアギャップ(ネットワークから物理的に隔離された)状態のデスクトップとノートパソコンがどのような危険にさらされているかを実証しました。攻撃はイスラエルのベン・グリオン大学のサイバーセキュリティ研究所のMordechai Guri氏とYuval Elovici氏によって設計されたAirHopperという技術を使用して行われました。
AirHopperはBluetooth、Wi-Fi、その他最新の無線通信技術を利用せず、FM電波を使ってデータを盗みます。攻撃者にとっては残念なことかもしれませんが、幸い、AirHopperの技術に関するすべての情報は秘密にされています。しかし、大学のウェブサイトに掲載されている情報によれば、研究者は、現代の携帯電話やスマートフォンに搭載されているFM受信機を非標準的な方法で使用されているという問題をかなり前から調査しています。受信機によって受信した信号を処理する受信機とアプリケーションを使用して、エアギャップのある機械のディスプレイまたはビデオアダプタからの無線放射を捕捉することで、キーストロークを傍受することが可能です。
マルウェアは熱を検知することでデータを盗むことができます。
セキュリティ研究者たちは、より単純な形の放射線、すなわち熱を利用した別の抜け穴を発見しました。イスラエルのBen Gurion大学でMordechai Guri氏とYuval Elovici氏によってBitWhisperと呼ばれるこのプログラムの対象は、インターネットに接続されていないコンピュータとしています。BitWhisperは、コンピュータの温度センサーに接続できる悪意のあるソフトウェアを使用することにより、2台のマシン間で情報をやり取りすることができます。
例えば、あるコンピュータの温度が一定期間内に1℃上がると、隣接するホストはバイナリ「1」と解釈します。温度が元の値に低下すると、「0」と解釈されます。
つまり、ほんの少しの情報によって、実行される命令やパスワードなどの短いデータ列を構成することができるということになります。もちろん、攻撃を成功させるためには一定の条件を満たす必要があります。2台のコンピュータ間のスペースは、40cm以下(温度変動を検出するのに十分近い距離)でなければなりません。また、マシンの1つはインターネットに接続されていなければならず、両方とも特別に設計されたマルウェアに感染している必要があります。このようにデータを送信するまでに、数時間かかることがあります。
ではハッキングはどこで行われたのでしょうか?この技術は電波を遮断して熱パターンを読み取るだけです。これらは、ソ連では、ウイルスとウイルス対策がまだ存在しないセキュリティ講習で警告された方法でした。
結論 この攻撃は、アンチウイルスによる検出を回避することとは無関係で、システムが感染することはありません。
Mordechai Guri氏は、より低速な速度に変更することで、システムに格納されたデータにアクセスできると考えています。エアギャップの状態にあるコンピュータにスピーカーがなく、オーディオチャンネルで情報を受け取る方法がない場合は、ファンミッター攻撃を仕掛けることができます。
成功させるためには、標的となるマシンに特別なマルウェアをインストールする必要があります。マルウェアは、ファンの回転速度を変更し、それによって生成されるサウンドの周波数を変更するために使用します。この変更は、後で近くの携帯電話のリモートマイクに送信するデータをエンコードするために使用されます。
この場合、攻撃者は、まず、エアギャップのあるコンピュータにマルウェアを感染させる方法を見つける必要があります。
結論 この攻撃は、アンチウイルスによる検出を回避することとは無関係で、システムが感染することはありません。
これらの手法に共通するのは、攻撃者が特定のデータを送信または傍受することです。これらを行うにはマルウェアをインストールする必要があります。 マルウェアが実際に導入されたと仮定したとき、アンチウイルスはデータの送信を監視する必要がでてくるでしょうか?
現在のところ、マルウェアは通常、脆弱性の悪用による感染ではなく、電子メールやWebトラフィックを介してシステムに感染します。マルウェアの起動を防ぐため、アンチウイルスはメッセンジャー通信だけでなく、HTTP(World Wide Web)およびSMTP / POP3 / IMAP4(電子メール)トラフィックも監視しています(ネットワークに対して通信する方法で最も頻繁に使用されるものだけを上げおり、これがすべてではありません)。
受信したすべてのデータがファイルの形式ではなく、後でファイルモニターによってチェックされるため、トラフィックをスキャンする必要があります。 たとえば、トロイの木馬やウイルスの中にはファイルとして存在しないものがあります。これまでさまざまなアンチウイルスモジュールによって実行されるタスクについて何度か書きましたので、ここでは繰り返しません。
ただし、悪意のあるプログラムは上記のプロトコル以外のプロトコルを使用することがあります。次のような例があります。
攻撃者はインテルAMTを使用して、感染したPC間でメッセージを送信できます。 アンチウイルスとファイアウォールのどちらも、それらの検出やブロックをすることはできません。 これにより、攻撃者は感染したホストから簡単にデータを取得できます。
これは事実です。 悪意のあるプログラムは、多くの通信プロトコルを使用しています。前述のAMTや、SOL、Torなど、多くの選択肢が存在します。 しかし、いくつかのマルウェアプログラムを侵入させるより通信を容易させるため、これらのプロトコルを介して送信を制御することはアンチウイルスの仕事ではありません。
アンチウイルスがデータを傍受することはできるでしょうか?理論的にはできますが、行うことはありません。アンチウイルスは、トロイの木馬や他のマルウェアが通信に使用する既知のプロトコルをすべて認識して妨害することができますが、新たな攻の撃手段を考案するのは簡単です。 だからこそ、コンピュータはマルウェアから守られなければならないのです。それはまさにアンチウイルスが行うべきことです。悪意のあるファイルがシステムに侵入しなければ、攻撃者と通信する感染マシンに関連する事件は発生しないはずです(前述)。
ところで、疑わしい活動を監視するアプリケーション、例えばSIEM(セキュリティ情報とイベント管理)ソリューションが存在しますが、このソリューションは家庭用のPCでは役に立ちません。なぜだとおもいますか?それは「jg.exeがAMT SOLを使って xx.xx.xx.xx に到達しました。適切なアクションを選択してください」というメッセージを表示された主婦がどういった反応をするか、想像してみたらわかると思います。
#myth #hacking #anti-virusRate
Repost
![[VK]](http://st.drweb.co.jp/static/new-www/social/no_radius/vkontakte.png)
![[Twitter]](http://st.drweb.co.jp/static/new-www/social/no_radius/twitter.png)
Like
![[facebook]](http://st.drweb.co.jp/static/new-www/social/no_radius/facebook.png)
Tell us what you think
To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.
Other comments