クラウンマルウェアチップ

情報技術の開発は、ソフトウェア（ソフトウェア）全体の開発に影響を与えます。 マルウェアをバイパスしません。 「高度な」悪意のあるソフトウェア（マルウェア）の開発に使用される主な手法を区別できます。

1. 隠された起動または権限昇格のために、影響を受けるコンピューターにインストールされたソフトウェアの脆弱性の悪用 。
   
   例-Stuxnetは、 自動実行 （autorun.inf）を介したUSBドライブからの従来の起動の代わりに、MS10-046ショートカット処理の脆弱性を使用しましたが、後にSalityは同じ脆弱性を使用し始めました。 Confickerは、ネットワークサービス「サーバー」MS08-067の脆弱性を使用しました。これにより、多数のマシンを増やすことができました。 脆弱性とは、原則として、 バッファオーバーフロークラスを指しますが、必ずしもそうではありませんが、ヒープオーバーフローなどがある場合もあります。バッファオーバーフローの簡単なポイントは、 スタックがプログラミングでよく使用されることです。 スタックの概念により、パラメーターの関数への転送を簡素化し、関数呼び出しが発生した場所に制御を戻すことができます。 例：キーボードから行を入力する必要な関数を呼び出し、戻りアドレスがスタックに配置されました（4バイトとしましょう）。次に、その行のためにスタックに255バイトを予約しました-気にしません。 そして同志のイワノフは、私たちのプログラムで作業するとき、yesを取り、364バイトの文字列を入力しました。 戻りアドレスの4バイトが（ストリングから）他のバイトで上書きされました。 したがって、制御は、関数が呼び出された場所ではなく、他の場所に戻ります。 行にバイナリコードが含まれ、行内のメモリ領域を指すアドレスに遷移するように微調整することもできます。 このような微調整されたシーケンス（通常は文字列だけでなくデータ）はシェルコードと呼ばれ、シェルコードを実装する悪意のあるプログラムはエクスプロイトと呼ばれます。 このプログラムの脆弱性は、入力文字列の長さの検証がないことです。 脆弱性を修正するために、 パッチが適用されます。 パッチは、特定のファイルを変更して脆弱性を修正するプログラム（または一連のアクション）です。
2. 多型技術の応用。
   
   ご存知のように、マルウェアを検出するためのウイルス対策方法の1つはシグネチャ分析です。 これは、マルウェアの場合、特徴的なデータのシーケンス（バイト）が決定されることを意味します。これは署名と呼ばれます。 そのような署名は、他のプログラムでは検出されません。 一般に、テキストの説明では次のようになります。先頭から127バイトは7、末尾から145237バイトは255、145235バイトは0である必要があります。ポリモーフィズムは、マルウェアファイルが異なるたびに、彼が規則性（署名）を特定することは不可能でした。 たとえば、 Zeusは非表示のインストール中にメインモジュールをトランスコードしたため、異なるコンピューターでは、ほぼすべてのバイトで同じバージョンが異なっていました。 特に「高度な」方法は、悪意のあるサーバーがマルウェアの新しくアセンブルされたコピーを各コンピューターにダウンロードするときの「サーバー」（サーバー側）ポリモーフィズムです。 さらに、ファイル変換アルゴリズムはマルウェア自体には含まれていませんが、サーバーに実装されています。 これにより、「突然変異」のコードが任意に大きく複雑になる可能性があるため、異なるコピーを作成する能力が大幅に向上します。 この方法は、たとえばStormで使用されました。
3. ルートキット機能の存在は、感染したコンピューターでマルウェアの兆候を隠すことを目的としています。
   
   原則として、これはシステムレベルでのマルウェアファイルの非表示、「タスクマネージャー」でのマルウェアプロセスの非表示、特定のレジストリキーなどを意味します。
4. 自衛の機能の実現。
   
   自己防衛とは、たとえば、強制的にシャットダウンするなどの対向するウイルス対策プログラムや、レジストリエディターの起動をブロックするなどのユーザーアクションを意味します。 マルウェア対策会社のポータルや情報セキュリティサイトへのアクセスも防止できます。このサイトから、マルウェアの削除、ウイルス対策ソフトウェアの更新プログラムのダウンロード、またはウイルス対策自体の指示を入手できます。 確かに、ウイルス対策の不適切な動作はマルウェアの覆い隠し要因です。 別の項目は、影響を受けるコンピューターからその「競合他社」、つまり他の悪意のあるプログラムを削除することです。 この対立の典型的な例は、SrizbiとStormボットファミリー間の闘争です。
5. 制御システムを使用して、 ボットネットの停止を目的としたウイルス対策企業の行動に耐性のあるコマンドを送信し、マルウェアから情報を受信します 。
   
   ボットネットとは、1つまたは複数のオペレーター（攻撃者）から単一のソースからコマンドを受信するボット（同じ種類のマルウェア）の集まりです。

暗号化の基本

後で説明する電子デジタル署名（EDS）の技術を一般的に理解するには、 暗号化の基本概念を開示する必要があります。 既存の暗号化方式は、 対称 DES 、 3DES 、 AES 、 RC4 、 RC6および非対称 （または公開キー暗号化） -RSA 、 ECDSAに分割できます。 それらの主な違い：

• 対称暗号化は、非対称暗号化よりもはるかに高速です（数十回）。
• 対称暗号化では、キーは1つ、非対称では2つです。

対称暗号化では、2人のユーザー間でキーを交換する必要があり（特に、ユーザーが互いに非常に離れている場合は非常に不便です）、非対称暗号化ではこの欠点がなくなります。 その本質：秘密鍵と公開鍵の2つのキーがあり、現在利用可能なコンピューティングパワーを使用して、許容可能な時間（たとえば、クラッカーの寿命中）に公開鍵から秘密鍵を取得または計算することはできません。 当然、現時点では8ビットキーを1秒未満で計算できますが、1024ビットキーは長年にわたって選択する必要があります。 公開キーと秘密キーのもう1つの特性は、いずれもメッセージを暗号化し、もう一方を復号化できることです。 つまり、次の2つの操作が可能です。

1. 送信者-ソーステキスト-秘密鍵-暗号化されたテキスト-公開鍵-復号化されたテキスト-受信者。
2. 送信者-ソーステキスト-公開キー-暗号化されたテキスト-秘密キー-復号化されたテキスト-受信者。

操作1は署名に使用され、操作2は暗号化に使用され、交換参加者（ユーザーAおよびB）の数に応じて2つのキーペアが使用されます。

1. 送信者A-ソーステキスト-秘密鍵A-暗号化されたテキスト-公開鍵A-復号化されたテキスト-受信者B。
2. 送信者A-ソーステキスト-公開鍵B-暗号化されたテキスト-秘密鍵B-復号化されたテキスト-受信者B

秘密鍵はユーザーのみが保存し、他の場所には保存しないでください。ユーザーキーバンドルの形式の公開鍵は、どこにでも自由に配布できます。 最初の場合（IDカードまたは署名）、ユーザーBはユーザーAがメッセージを送信したことを確認します。これは、A以外の誰もメッセージを暗号化できないため、公開キーAで復号化できるためです（秘密キーは公開キーを使用して計算できません）。 2番目のケース（暗号化）では、ユーザーBのみが、公開鍵Bを持つユーザーによって暗号化されたメッセージを秘密鍵Bで復号化できます（秘密鍵は公開鍵を使用して計算できません）。

実際には、非対称暗号化は対称暗号化よりも10倍遅いことが既に述べられているため、スキームはやや複雑です。 そのため、署名の際、暗号化はデータ全体ではなく、 ハッシュ関数と呼ばれるこのデータの一部の機能に使用されます 。 最も単純なハッシュ関数として、占星術でよく使用される手法を考えることができます。たとえば、1998年は1 + 9 + 9 + 8 = 27 = 2 + 7 = 9です。 最初の近似では、これがハッシュ関数の仕組みですが、追加する代わりに他の多くの関数が使用されます。 上記の例では、たとえば、1899年には9という数字もあります。この状況は衝突と呼ばれます。これは、異なるデータセットが1つのハッシュ関数値（または単なるハッシュ）に対応することを意味します。 ハッシュの最も一般的なタイプはMD5 、 MD6 、 SHA-1 、 SHA-2です。 したがって、技術的にはEDSは、ユーザーの秘密キーで暗号化された送信データのハッシュを含む追加のデータブロックです。 衝突は、EDSを偽造するために使用できます。 任意のファイルからデジタル署名を取得し、同じハッシュを使用して偽造ファイルを作成すると、エンドユーザーはすべての計算に同意し、ファイルは自分からではなく自分から知られている人から送信されたと考えます。 問題は、指定されたハッシュ値が取得されるように、どのバイトをファイルに追加するアルゴリズムを作成することができないことです。 もちろん、たとえば、値0のバイトをファイルに追加し、次に1、2などを最大255まで追加し、同じ方法で2番目、3番目などを追加できますが、時間がかかります。

暗号化に関しては、いくつかの変更も適用されます。 したがって、非対称アルゴリズムでは、データセット全体が暗号化されるのではなく、いわゆるセッションキーがランダムに生成されます。 このセッションキーは、対称アルゴリズムを使用してデータセットを暗号化します。これははるかに高速です。 セッションキー自体は、受信者の公開キーで暗号化され、ソースデータに追加されます。 受信者は自分の秘密鍵でセッションキーを解読し、それを使用して元のメッセージを解読します。

マルウェアで暗号化を使用する

暗号化手法を使用して、攻撃者は次の問題を解決します。

• EDSを使用することにより、マルウェアの更新されたバージョンが、競合する攻撃者やウイルス対策会社の従業員からではなく、オペレーターから受信されることを確認します。 これを行うために、公開鍵はボットに「接続」され、秘密鍵は安全な場所（もちろん、サーバー上ではない）に保存されます。 多くのプログラムに脆弱性が含まれていることは周知の事実であり、この意味でボットネットコマンドサーバーも例外ではありません。 場合によっては、そのようなサーバーをハッキングしてから、ボットの自己破壊コマンドを発行したり、新しいバージョンのボットを装ってアンチウイルスユーティリティを配布したり、コントロールセンターのアドレスを変更したりすることが可能になりました。 EDSを使用すると、ボットネットに対する制御の傍受の問題がなくなります。
• 感染したコンピューターから盗まれた情報を暗号化します。 したがって、ボットネットの結果を使用できるのは（プライベートキーを持つ）オペレーターのみです。つまり、管理サーバーのハッキングは機能しません。
• 多くのウイルス対策ツールは、大規模なソフトウェア会社やドライバー開発者のデジタル署名で署名されている場合、プログラムのアクション（コードを別のプロセスに導入するなどの疑わしいアクションの監視）を分析しません。 この機能は、アンチウイルス保護システムをバイパスするためにサイバー犯罪者によって正常に使用されます。 署名は、盗まれた秘密鍵（盗まれたRealtekの鍵で署名されたStuxnet）、衝突方法（Microsoftが申し立てた炎に署名された）を使用して生成されます。
• アンチウイルスの専門家は、最近ランサムウェア 、 ランサムウェアがより一般的になったと言います。 ランサムウェアの典型的な例として、GPCodeを使用できます。 この悪意のあるプログラムは、ランダムセッションキーでユーザーファイルを暗号化し、公開キー（GPCodeにある）を使用して暗号化された形式で保存します。 ソースデータは自然に消去されます。 逆の操作を実行するには、攻撃者が残した詳細に応じて一定の金額を送金し、この暗号化されたセッションキーを送信する必要があります。 秘密鍵（攻撃者にある）を使用して復号化され、ユーザーに送り返されます。その後、ファイルは正常に復号化されます。 そのようなプログラムの影響に対する唯一の信頼できる保護は、バックアップです。

制御システムの種類

管理システムの開発では、次の段階が経過しています。

• ハードセットされた電子メールアドレス。
• IRCチャットの使用、ボットは特定のサーバー上の特定のチャネルに接続されましたが、サーバーは合法でハッキングされ、その後にIRCサーバーソフトウェアがインストールされました。
• ハードコーディングされたドメイン名またはIPアドレス。
• DGA（ドメイン生成アルゴリズム）の使用。
• P2Pテクノロジーの使用。

明らかに、静的に設定されたすべてのものは、遅かれ早かれウイルス対策会社によってブロックされました。 これらの問題を解決するために、DGAおよびP2Pテクノロジーが使用されます。

DGAの本質は、制御用のコマンドセンターの名前はハードコードされていないが、現在の日付と時刻を使用して擬似ランダムアルゴリズムに従って生成されることであり、そのようなドメインの数は非常に多く、たとえば1日あたり1000個である必要があります。 これにより、そのような名前をすべて登録またはブロックすることは非常に難しく、実際には不可能な作業になります。 ただし、マルウェアでDGAを使用することで、ウイルス対策企業はいわゆるシンクホールルーターを使用できるようになります。これは、ボットが自分のものと認識し始めている偽のコントロールセンターです。 したがって、着信接続のIPアドレスを分析することにより、感染の程度と地理的分布を評価することが可能になります。 場合によっては、これにより、コントロールを奪い、自己破壊のコマンドを与えることもできますが、チームと新しいファイルは通常、サイバー犯罪者によるデジタル署名によって署名されるため、これはまれです。

P2Pを使用すると、コントロールセンターの概念を完全に放棄でき、感染したコンピューターからボットの新しいバージョンの管理または配布を行うことができます。

P2P（ピアツーピア、ピアツーピアネットワーク）には、多数のコンピューターが含まれ、各コンピューターには、IPアドレスなど、そのようなコンピューターに関する情報が含まれています。 このようなコンピューター（ピア、ピア）のリストは、ブートストラップリスト（初期初期化リスト）と呼ばれます。 このリストがどこから来たかによって、部分的に分散されたP2Pネットワークと完全に分散されたP2Pネットワークが区別されます。

部分的に分散されたP2Pネットワークでは、既知のサーバーからブートストラップリストをロードする必要があります。 特に、これがuTorrrentの仕組みです。 このようなシステムには弱点があります。ブートストラップリストを含むサーバーへのアクセスをブロックするだけで十分です。 したがって、マルウェアでは、完全に分散化されたスキームが使用されます。 マルウェアに関連する完全に分散化されたP2Pネットワークの概念は、配布が2段階で行われることを意味することに注意する必要があります。 最初の段階で、ボットは空のブートストラップリストで配布され、定期的にコマンドセンターにアクセスし、コマンドセンターがボットのIPアドレスを修正します。 ボットネットオペレーターは、IPアドレス自体に加えて、ボットがゲートウェイの背後にあるのかファイアウォールの背後にあるのかという情報にも関心があります。 そうでない場合、ボットはスーパーピア（スーパーピア、スーパーノード）として機能できます。つまり、他のピアを直接ボットできます。 必要な数のスーパーピアが収集されるとすぐに、それらのリストがブートストラップリストに入力され、攻撃者によって新しいバージョンのボットが拡散し始めます。 配布後、すべてのボットは近隣の情報を交換し、独自のブートストラップリストを作成します。 その結果がP2Pネットワークです。 近隣のリストが絶えず変化しているため、一定数のボットの消失に耐性があります。 交換中に、ボットはバージョンに関する情報も交換します。 ボットが「期限切れ」であることを検出した場合、新しいバージョンが近隣の1つからダウンロードされます。 ダウンロード時には、原則として、ファイルのデジタル署名がチェックされ、「自分ではない」ファイルが配布される可能性が排除されます。 したがって、P2Pのすべてのボットは最新の状態を保ちます。 Storm、 Sality 、 Zeusの最新バージョンが機能するのは、上記の2段階のスキームに従います。 彼らが使用するP2P実装は、 Kademliaプロトコルに基づいています。 Confickerは独自の実装を使用します。最も興味深いのは、ブートストラップリストが最初は空であり、IPアドレスをスキャンすることで隣接を検出することです。 Confickerは、その機能に関連して、単なるボットよりもマルウェア作成の最新技術を開発する手段を連想させます。



要約すると、現代のマルウェアの作成者は、マルウェアの存続可能性を確保することに真剣に取り組んでいると結論付けることができます。 さらに、ウイルス対策企業はこの競争で本当に負ける傾向があります。 P2PとEDSの使用は、実際にはボットネットを「扱う」機会を与えません。