【授業復習】マルウェアに関して
不正かつ有害に動作させる目的で作成された悪意あるソフトウェアや悪質なコードの総称。
ウイルス:プログラムに常駐したり、動作を妨げたり、ユーザーが意図しない動作を行うプログラム。
ワーム:ネットワークの脆弱性を悪用し、自らを複製するプログラム。システムやネットワークの性能を劣化されたり、コンピューター内のファイルを消したりなど、一度感染してからはユーザーの意図関係なく、短期間でネットワーク上に広がる。
トロイの木馬:攻撃者の活動を侵入先のコンピューター上でユーザーが気づかない状況で行うプログラム。実行するユーザーの権限を利用して悪意ある操作を行う。
スパイウェア:破壊目的ではなく、ユーザーの追跡や偵察することを意図したプログラムで侵入先のコンピューターでのアクティビティの把握やキーストロークの収集、データの取得などを目的としている。
■不正アクセス
- パスワード解読
総当たり攻撃: あり得るパスワードを全て試すこと。(0000-0001-0002...etc)
辞書攻撃:ユーザーがよく使われるパスワードを一通り試してみること(氏名、生年月日、地名とか..)
- パスワード盗用
リスト攻撃:アカウントとパスワードが記載されたリストをもとにウェブサービスへの不正アクセスを試みる攻撃。
- 権限昇格
バッファオーバーフロー:処理能力を超えたコンピューターに不正なデータを送りつけて、誤動作を起こさせるバッファーオーバーフロー攻撃。
- アクセス制御の回避
SOLインジェクション:「SQL」に、不正なプログラムを注入するサイバー攻撃の総称。
ディレクトリトラバーサル:URLを加工すると普段では見られないサイトが見られる。上層に遡ってパスを指定することて、不正にファイルにアクセスする、攻撃手法の一つ。
■脆弱性によるサービスの停止
ping of death, teardrop
→規格外のpingパケットを送り込むことでリソース枯渇によるサービスの停止にまで陥れるもの。
→pingパケットとは:pingは、発信元のホストから宛先のコンピュータにメッセージを送信し、宛先がそれに対して返した応答が戻って来るまでのラウンドトリップタイム(RTT、往復時間)を測定するもの。
SYN flood
→TCP/IPの一種で TCP SYN パケットがインターネット上に公開されているウェブサーバなどの負荷を増大させ、対象となるサイトを一時的に利用不能に陥らせてしまう効果がある。
一般に、インターネット上の TCP接続は次のような手順で行われる (3ウェイ・ハンドシェイク)
1.クライアントが、サーバに対して TCP SYN パケットを送信する。
2.SYN パケットを受けとったサーバは、そのクライアントの接続を許可する SYN ACK パケットを送信する。同時にサーバは接続を準備するために、そのクライアントとのTCP接続用の情報を記憶する領域を割り当てる。
3. SYN ACK パケットを受けとったクライアントは、接続開始をあらわす ACKパケットを送信し、サーバとの通信を開始する。
SYN flood 攻撃は、クライアント側がこの 3. の操作を意図的に行わないようにして、サーバを「中途半端な」状態にすること。
https://gyazo.com/fb2236ae56358eda5719b5f4d185bd19
■ ネットワークによる通信の増幅
Smurf
→IPのアドレスをブロードキャストし、戻りの通信を攻撃したいサーバーに通信してサーバーを負荷超過させる。
(ブロードキャスト:ネットワークに参加するすべての機器に同時に信号やデータを送信)
• 分散サービス拒否
Distributed Denial of Service(DDoS攻撃), DDoS • LOIC,HOIC
• ボットネット
→一般にサイバー犯罪者がトロイの木馬やその他の悪意あるプログラムを使用して乗っ取った多数のゾンビコンピュータで構成されるネットワーク
• 商用DDoSサービス
■攻撃者
https://gyazo.com/06f5ac8029e1730bec23d62ee40f6d74
※ハクティビスト
自身の信念で行動する個人または擬似的な集団。
ー企業のシステムを止めるくらいの実力を持っている。
ー攻撃ツールの提供者、実行者など、、専門家が多いため分業制で行われている。
(事例)
ソニーコンピュータエンタテインメント, 2011年
• 大量の攻撃者によるDDoS攻撃を受け,PlayStation Network(PSN)な
どのサービスが停止。
• さらにサーバに不正侵入を受け,約7700万人の個人情報が流出。 匿名ハッカー集団「Anonymous」が攻撃声明。
※電子犯罪者
金銭的な利益のために攻撃する集団。目的は利益なので,行動は合理的で割に合わないことはやらない。 危険だと判断すると引き際は速い。
※国家機関
合法であり一部の国家では活発に活動している。攻撃になるための資源(設備、金、人、技術)を持っている。ターゲットは通常は国家安全保障に関連する組織。しかし、民間企業も対象に入っている。
■金銭目的攻撃
https://gyazo.com/48d6341c9aeb2b625cb18ba5a0597d89
■マルウェアの動き
https://gyazo.com/72457ca80fe1bf01a76d6f1e94e6074b
感染
何らかの方法で計算機上でプログラムを実行させる。
• アプリケーションとして実行させる(トロイの木馬)
• システムの持つ自動実行機能を使う
• JavaScriptなどブラウザの実行機能を使う(モバイルコード)
• アプリケーションに組み込まれたマクロ言語を使う
• データに組み込んだプログラムをアプリケーションの脆弱性を利用して実行させる(バッファオーバーフローなど)
本体のダウンロード
マルウェアの本体を外部のサイトからダウンロードする
• 感染用のモジュール(ドロッパー)を小さくできる。
→モジュールを送りこむ際にばれにくくなる。大容量のモジュールの場合「大きいファイルをダウンロードしているな..」とユーザーから気づかれる可能性もあるため。
• 感染用モジュールが十分大きい場合は,その中にマルウェア本体 を格納することでダウンロードは不要にできる。(インターネット環境 がない場合にも感染できる)
• 感染した計算機から,インターネットへHTTPなどのよく使われるプロ トコルでアクセスする。この通信方向はファイアウォールなどに妨害される可能性が少ない。
• IPS(侵入防御システム)などに妨害されないように,ファイルは暗号化される。
ー暗号化されているファイルはウイルスチェックは難しい。
コードを抽出
マルウェアの本体は検知システムから逃れるため何重にも暗号化されている。本体のファイルから実行可能なコードを抽出。
プロセスの展開
抽出したものをコンピューターの中にインストールする。
• 展開されたコードをプロセスとして起動。
• 特権が必要な場合は特権昇格(ユーザが許可されていない特権を取得すること)の脆弱性を利用する。
• アンチウイルスソフトが起動しているときは,特権を利用して先に対処する。
OSの隠蔽
自身の発見を困難にするためOS機能を改変する。
• プロセスリストに自分のプロセスを表示せず、 ファイルリストにも自分のファイルを表示しない。
• 必要なソフト一式はルートキット(root kit)としてパッケージ化されて いる。
命令通信、自己アップデート
自己発呼で外部サーバと通信を行う
•攻撃者からの命令の確認
• マルウェアのアップデートファイルの受信
• 収集した情報の報告
• 活動の停止,痕跡の消去の実行
ペイロード
マルウェアの目的部分。
• 計算機の情報を収集し,攻撃者へ送信する(情報漏洩)
• 計算機にあるデータを書き換える(破壊活動)
ー普通はやらない。侵入して破壊活動を行うのであればユーザーにバレる可能性もある。
• 他の計算機システムを攻撃する(踏み台)
• 計算機の管理者権限を取得しアンダーグラウンドのサーバとして利 用する
• 計算機にあるデータを暗号化し身代金を要求する(ランサムウェア)
• 攻撃者に計算機へのリモートアクセス機能を提供する(バックドア,RAT)
ー攻撃者がユーザーの一人として乗っ取りができる。
• いやがらせ(画像を表示する,音楽を鳴らす,ポップアップを出す)
ー最近はあまりない
自己複製
オンラインで到達できる範囲で再感染を試みる。
(ex.共有ファイルへの感染、偽メールの送信など...)
ーーーーーーーーー
英語
Virus:Users don't think that the Program working.
For example, removing a resident program, preventing moving.
Virus:Users don't think that the Program working.
For example, removing a resident program, preventing moving.
Worm: exploiting vulnerabilities, copying program myself. deterioration in the quality of system, network,
Take off my computer in my file ,
Once infected, it spreads on the network in a short period regardless of the user's intention.
Program unconscious working for uses that
Attacker's behavior in my computer.
User is utilized Autiorogy for malicious program by Attacker's.
Not for destruction , Program for Users observation intended to Recognizing Activity , Getting data.