数日前、enSiloのセキュリティ専門家Tal Liebermanは、Windows 10までのすべてのバージョンのWindowsに影響する新しいコードインジェクションテクニックを示しました。残念ながら、このテクニックの性質上、パッチを適用することはできません。 この記事では、この攻撃とその結果に光を当て、自分を守るために何ができるかを伝えたいと思います。
どのように機能しますか?
基本的に、この攻撃は独自のオペレーティングシステムを使用して悪意のあるコードを挿入し、正当なプロセスを使用して実行します。 このアプローチでは、この脅威を長年使用している他の悪意のあるプログラムと根本的に区別することはできませんが(マルウェアは何十年も実行中のプロセスに侵入しました)、その特徴はアトミックテーブルを使用することです(Windowsが提供し、アプリケーションがアクセスデータ)は一般的ではありません。 したがって、この脅威は多くのセキュリティソリューションによって気付かれることはありません。
この攻撃は珍しいため、多くのセキュリティソリューションでは気付かれることはありません。
今すぐ見つけられる最高の説明は、Talのブログ投稿「 AtomBombing:現在のセキュリティソリューションをバイパスするコードインジェクション 」です。
パッチがなく、脅威がすべてのバージョンのWindowsに感染している場合、これは大きな危険に直面していることを意味しますか?
そうでもない。 まず、この手法を使用するには、悪意のあるプログラムがマシン上で実行できなければなりません。 リモートからコンピュータを攻撃およびハッキングするために使用することはできません。 サイバー犯罪者は、既存のセキュリティソリューションがこの脅威を阻止できないことを期待して、悪意のあるプログラムをダウンロードして実行するために、エクスプロイトを使用するか、ユーザーをだます必要があります。
それは本当に新しいものですか?
コードを挿入するための攻撃の実装方法は新しいですが、前述したように、マルウェアは長年にわたってマルウェア挿入技術を使用しています(たとえば、このアプローチは多くの暗号化ファミリで見られます)。
新しいが、危険ではない...なぜパニックになるのですか?
先ほど言ったように、最初に悪意のあるプログラムをマシン上で実行する必要がありますが、ある時点でそれが起こることはわかっています(IFではなくWHENです)。
多くのセキュリティソリューションは、プロセスを実装しようとする試みを検出しますが、署名に基づいてそれを実行します。その結果、最近ではこの特殊な手法を検出できないことが多くあります。
さらに、多くのソリューションには信頼プロセスのリストがあります。 悪意のあるコードの導入がそれらのいずれかで行われた場合、そのようなセキュリティソリューションによって行われたすべてのセキュリティ対策は「通過」されます。
最後に、実際には、この攻撃は簡単に実行することができ、この技術をマルウェアに導入する多くのサイバー犯罪者がすぐにではなく、すぐに現れることが既に知られています。
企業ネットワークを保護するために何ができますか?
一方で、従来のマルウェア対策ソリューションは、何億ものさまざまな脅威からの感染を検出および防止するのに効果的です。 ただし、ターゲットを絞った攻撃や完全に新しい脅威を阻止したい場合、それらはあまり良くありません。
一方、いわゆる「次世代アンチウイルス」があります。 彼らのほとんどは、シグネチャを使用しないと主張し、その機能は過去数年間で大幅に進化した機械学習技術の使用によるものであり、いくつかの新しい脅威をかなりうまく検出できることを示しています。 すべての脅威をブロックするのが得意ではないという弱点を知っているため、感染後のシナリオで優れた専門家としての経験があり、セキュリティ違反が既に発生している場合に大きな付加価値を提供します。 これらのソリューションの別の問題は、機械学習が白黒の診断を提供しないことです。これは、高レベルの誤検知につながります。
従来の次世代アンチウイルス+アンチウイルスを使用するのに最適なオプションはありますか?
いいえ、これはこれらのソリューションの1つだけを使用するよりも優れていますが、 これらのソリューションはどちらも互いにうまく補完できます。 ただし、このアプローチには多くの欠点もあります。 まず、これらのソリューションの両方に料金を支払う必要があります。 これはセキュリティの全体的なレベルの向上により正当化される可能性がありますが、追加の作業のために追加の予算が必要になることを意味します(「次世代アンチウイルス」からの誤検知のレベルが大幅に増加し、異なる管理コンソールなどから2つの製品を管理する必要があります) d。)。 また、パフォーマンスに問題がある可能性もあります。 どちらのソリューションもコンピューター上で同時に機能します。 最後に、これらのソリューションは相互作用しないため、処理する情報のすべての利点を十分に活用することはできません。
従来のマルウェア対策ソリューションと機械学習技術の機能を組み合わせた企業ソリューションは何ですか?
私の意見では、最善の方法は、このような2つのソリューションクラス( Adaptive Defense 360など )の機能を組み合わせたソリューションです。 従来のマルウェア対策ソリューションの力、 およびビッグデータとクラウドと組み合わせて機械学習技術を使用した長年の経験 。 このアプローチにより、両方のクラスのソリューションが連携し、情報を交換し、実行中のすべてのプロセスを継続的に監視し、企業ネットワーク上のコンピューターで実行されているすべてのプログラムを分類し、セキュリティ違反が発生した場合にエキスパートデータをリアルタイムで提供できます。 この場合、最終的なマシンに小さなエージェントが導入され、すべての面倒を見て、市場で最高レベルの生産性を達成するためにリソース集約型プロセスにクラウドを使用します。
投稿者Louis Corrons(PandaLabs Antivirus Lab)