今日の最も悪質なハッカーが使用する7つのスニークアタック

何百万ものマルウェアと何千もの悪意のあるハッカーギャングが、簡単な複製を食い物にして今日のオンライン世界を歩き回っています。数十年とまではいかなくても、何年にもわたって機能してきた同じ戦術を再利用しても、私たちの怠惰、判断の誤り、または単純な愚かさを利用する上で、新しいことや興味深いことは何もしません。

しかし、毎年、マルウェア対策の研究者は眉を上げるいくつかのテクニックに出くわします。マルウェアやハッカーによって使用されるこれらのインスピレーションを得た手法は、悪意のあるハッキングの境界を広げます。それらを逸脱したイノベーションと考えてください。革新的なものと同様に、多くは単純さの尺度です。

[14の汚いITセキュリティコンサルタントのトリック、9つの一般的なITセキュリティプラクティスが機能しない、10のクレイジーなセキュリティトリックが機能することを確認してください。| Web Browser Deep DivePDF特別レポートとSecurityCentralニュースレターの両方からシステムを保護する方法を学びます。]

スプレッドシートでゼロを大文字のOに静かにランダムに置き換え、数値をゼロの値のテキストラベルに即座に変換する、1990年代のMicrosoft Excelマクロウイルスを取り上げます。この変更は、ほとんどの場合、バックアップシステムに何も含まれなくなるまで検出されませんでした。悪いデータ。

今日の最も独創的なマルウェアとハ​​ッカーは、同じようにステルスで気の利いたものです。ここでは、セキュリティ研究者としての私の興味をそそる最新の注目すべきテクニックと、学んだ教訓をいくつか紹介します。過去の悪意のあるイノベーターの肩に立つ人もいますが、今日では、最も精通したユーザーでさえもぼったくりする方法として、すべてが非常に流行しています。

ステルス攻撃その1:偽のワイヤレスアクセスポイント

偽のWAP(ワイヤレスアクセスポイント)ほど簡単にハッキングできるものはありません。少しのソフトウェアとワイヤレスネットワークカードを使用している人は誰でも、自分のコンピューターを利用可能なWAPとしてアドバタイズでき、それが公共の場所にある実際の正当なWAPに接続されます。

あなた(またはあなたのユーザー)が地元のコーヒーショップ、空港、または公共の集まりの場所に行き、「無料のワイヤレス」ネットワークに接続したときのことを考えてみてください。偽のWAPを「スターバックスワイヤレスネットワーク」と呼んでいるスターバックスや、アトランタ空港で「アトランタエアポートフリーワイヤレス」と呼んでいるハッカーは、あらゆる種類の人々を数分でコンピューターに接続させます。ハッカーは、無意識の被害者と意図されたリモートホスト間で送信されたデータストリームから保護されていないデータを盗聴することができます。パスワードも含めて、まだクリアテキストで送信されるデータの量に驚かれることでしょう。

より悪質なハッカーは、被害者にWAPを使用するための新しいアクセスアカウントを作成するように依頼します。これらのユーザーは、他の場所で使用するパスワードとともに、一般的なログオン名または電子メールアドレスの1つを使用する可能性が高くなります。その後、WAPハッカーは、人気のあるWebサイト(Facebook、Twitter、Amazon、iTunesなど)で同じログオン資格情報を使用してみることができ、被害者はそれがどのように発生したかを知ることはできません。

教訓:パブリックワイヤレスアクセスポイントを信頼することはできません。ワイヤレスネットワークを介して送信される機密情報は常に保護してください。すべての通信を保護し、パブリックサイトとプライベートサイト間でパスワードをリサイクルしないVPN接続の使用を検討してください。

ステルス攻撃その2:クッキーの盗難

ブラウザのCookieは、ユーザーがWebサイトをナビゲートするときに「状態」を保持する素晴らしい発明です。これらの小さなテキストファイルは、Webサイトによってマシンに送信され、Webサイトまたはサービスが訪問中、または複数回の訪問にわたって私たちを追跡するのに役立ち、たとえばジーンズをより簡単に購入できるようにします。嫌いなものは何ですか?

回答:ハッカーが私たちのクッキーを盗むとき、そしてそうすることによって、私たちになります-最近ますます頻繁に発生します。むしろ、彼らは私たちであるかのように私たちのウェブサイトに対して認証され、有効なログオン名とパスワードを提供しました。

確かに、Cookieの盗難は、Webの発明以来存在していましたが、最近のツールでは、クリック、クリック、クリックと同じくらい簡単にプロセスを実行できます。たとえば、Firesheepは、Firefoxブラウザのアドオンであり、保護されていないCookieを他人から盗むことができます。偽のWAPまたは共有パブリックネットワークで使用すると、Cookieのハイジャックは非常に成功する可能性があります。 Firesheepは、検出したCookieのすべての名前と場所を表示し、マウスをクリックするだけで、ハッカーがセッションを引き継ぐことができます(Firesheepの使いやすさの例については、Codebutlerブログを参照してください)。

さらに悪いことに、ハッカーはSSL / TLSで保護されたCookieでさえも盗み、それらを薄い空気から嗅ぎ分けることができるようになりました。2011年9月、作成者による「BEAST」というラベルの付いた攻撃により、SSL / TLSで保護されたCookieも取得できることが証明されました。今年は、有名なCRIMEを含むさらなる改善と改良により、暗号化されたCookieの盗用と再利用がさらに容易になりました。

リリースされたCookie攻撃ごとに、Webサイトとアプリケーション開発者はユーザーを保護する方法を教えられます。時々、答えは最新の暗号暗号を使用することです。また、ほとんどの人が使用しないあいまいな機能を無効にすることもあります。重要なのは、すべてのWeb開発者が安全な開発手法を使用してCookieの盗難を減らす必要があるということです。Webサイトが数年以内に暗号化保護を更新していない場合は、おそらく危険にさらされています。

教訓:暗号化されたCookieでさえ盗まれる可能性があります。安全な開発技術と最新の暗号を利用するウェブサイトに接続します。HTTPS Webサイトは、TLSバージョン1.2を含む最新の暗号を使用している必要があります。

ステルス攻撃その3:ファイル名のトリック

ハッカーは、マルウェアが始まって以来、ファイル名のトリックを使用して悪意のあるコードを実行させてきました。初期の例には、疑いを持たない被害者がファイルをクリックするように促すような名前(AnnaKournikovaNudePicsなど)や、複数のファイル拡張子(AnnaKournikovaNudePics.Zip.exeなど)の使用が含まれていました。今日まで、Microsoft Windowsおよびその他のオペレーティングシステムは、「よく知られている」ファイル拡張子を簡単に非表示にします。これにより、AnnaKournikovaNudePics.Gif.ExeはAnnaKournikovaNudePics.Gifのようになります。

数年前、「twins」、「spawners」、または「companion virus」として知られるマルウェアウイルスプログラムは、Microsoft Windows / DOSのあまり知られていない機能に依存していました。この機能では、ファイル名Start.exeを入力しても、Windowsはと、見つかった場合は、代わりにStart.comを実行します。コンパニオンウイルスは、ハードドライブ上のすべての.exeファイルを検索し、EXEと同じ名前で、ファイル拡張子が.comのウイルスを作成します。これはMicrosoftによって長い間修正されてきましたが、初期のハッカーによる発見と悪用は、今日進化し続けるウイルスを隠すための独創的な方法の基礎を築きました。

現在採用されているより洗練されたファイル名変更のトリックの中には、ユーザーが提示するファイル名の出力に影響を与えるUnicode文字の使用があります。たとえば、Right to Left Overrideと呼ばれるUnicode文字(U + 202E)は、多くのシステムをだまして、AnnaKournikovaNudeavi.exeという名前のファイルをAnnaKournikovaNudexe.aviとして表示させることができます。

レッスン:可能な限り、ファイルを実行する前に、ファイルの実際の完全な名前を知っていることを確認してください。

ステルス攻撃その4:場所、場所、場所

それ自体に対してオペレーティングシステムを使用するもう1つの興味深いステルストリックは、「相対対絶対」として知られるファイルの場所のトリックです。従来のバージョンのWindows(Windows XP、2003以前)およびその他の初期のオペレーティングシステムでは、ファイル名を入力してEnterキーを押すか、オペレーティングシステムがユーザーに代わってファイルを探していた場合、常に次のように始まります。他の場所を探す前に、まず現在のフォルダまたはディレクトリの場所。この動作は効率的で無害に見えるかもしれませんが、ハッカーやマルウェアはそれを有利に利用しました。

たとえば、組み込みの無害なWindows計算機(calc.exe)を実行したいとします。コマンドプロンプトを開き、calc.exe入力してEnterキーを押すのは簡単です(多くの場合、マウスを数回クリックするよりも高速です)。ただし、マルウェアはcalc.exeという悪意のあるファイルを作成し、それを現在のディレクトリまたはホームフォルダに隠す可能性があります。 calc.exeを実行しようとすると、代わりに偽のコピーが実行されます。

私は侵入テスターとしてこの欠点が大好きでした。多くの場合、コンピューターに侵入して管理者に特権を昇格させる必要があった後、パッチが適用されていない既知の以前は脆弱なソフトウェアを取得して、一時フォルダーに配置しました。ほとんどの場合、以前にインストールしたパッチを適用したプログラム全体をそのままにして、脆弱な実行可能ファイルまたはDLLを1つ配置するだけでした。プログラム実行可能ファイルのファイル名を一時フォルダーに入力すると、Windowsは、パッチが適用された最新バージョンではなく、脆弱なトロイの木馬実行可能ファイルを一時フォルダーからロードします。私はそれが好きでした-私は単一の悪いファイルで完全にパッチを当てられたシステムを悪用することができました。

Linux、Unix、およびBSDシステムでは、この問題が10年以上にわたって修正されています。マイクロソフトは、2006年にWindows Vista / 2008のリリースで問題を修正しましたが、下位互換性の問題のため、問題はレガシーバージョンのままです。マイクロソフトはまた、開発者に、独自のプログラム内で(相対的ではなく)絶対的なファイル/パス名を使用するように警告し、教えてきました。それでも、何万ものレガシープログラムはロケーショントリックに対して脆弱です。ハッカーはこれを誰よりもよく知っています。

レッスン:ディレクトリとフォルダの絶対パスを適用するオペレーティングシステムを使用し、最初にデフォルトのシステム領域でファイルを探します。

ステルス攻撃No.5:ホストファイルのリダイレクト

今日のほとんどのコンピューターユーザーには知られていないのは、Hostsという名前のDNS関連ファイルの存在です。 WindowsのC:\ Windows \ System32 \ Drivers \ Etcの下にあるHostsファイルには、入力したドメイン名を対応するIPアドレスにリンクするエントリを含めることができます。 Hostsファイルは元々、DNSサーバーに接続して再帰的な名前解決を実行することなく、ホストが名前からIPアドレスへのルックアップをローカルで解決する方法としてDNSによって使用されていました。ほとんどの場合、DNSは問題なく機能し、ほとんどの人はHostsファイルが存在していても対話することはありません。

ハッカーやマルウェアは、ホストに独自の悪意のあるエントリを書き込むのが大好きです。そのため、誰かが人気のあるドメイン名(たとえば、bing.com)を入力すると、より悪意のある別の場所にリダイレクトされます。悪意のあるリダイレクトには、多くの場合、元の目的のWebサイトのほぼ完全なコピーが含まれているため、影響を受けるユーザーは切り替えに気づきません。

このエクスプロイトは、今日でも広く使用されています。

レッスン:悪意を持ってリダイレクトされている理由がわからない場合は、Hostsファイルを確認してください。

ステルス攻撃No.6:滝壺攻撃

ウォーターホール攻撃は、その独創的な方法論からその名前が付けられました。これらの攻撃では、ハッカーは、標的となる被害者が特定の物理的または仮想的な場所で頻繁に会ったり、働いたりするという事実を利用します。次に、悪意のある目的を達成するためにその場所を「毒殺」します。

たとえば、ほとんどの大企業には、会社の従業員に人気のある地元のコーヒーショップ、バー、またはレストランがあります。攻撃者は、できるだけ多くの企業資格情報を取得しようとして、偽のWAPを作成します。または、攻撃者は頻繁にアクセスするWebサイトを悪意を持って変更して同じことを行います。対象となる場所はパブリックポータルまたはソーシャルポータルであるため、被害者はよりリラックスして無防備になることがよくあります。

今年、ウォーターホール攻撃は、開発者がアクセスした人気のあるアプリケーション開発Webサイトのために、Apple、Facebook、Microsoftなどの有名なテクノロジー企業が侵害されたときに大きなニュースになりました。Webサイトは、開発者のコ​​ンピューターにマルウェア(場合によってはゼロデイ)をインストールする悪意のあるJavaScriptリダイレクトで汚染されていました。次に、侵害された開発者ワークステーションを使用して、被害を受けた企業の内部ネットワークにアクセスしました。

教訓:人気のある「水飲み場」が一般的なハッカーの標的であることを従業員が認識していることを確認してください。

ステルスアタックNo.7:おとり商法

最も興味深い進行中のハッカー技術の1つは、おとり商法と呼ばれます。被害者は、1つのものをダウンロードまたは実行していると言われ、一時的に実行されますが、その後、悪意のあるアイテムに切り替えられます。例はたくさんあります。

マルウェアスプレッダーが人気のあるWebサイトの広告スペースを購入することはよくあることです。注文を確認すると、Webサイトに悪意のないリンクまたはコンテンツが表示されます。ウェブサイトは広告を承認し、お金を取ります。次に、悪者はリンクまたはコンテンツをより悪意のあるものに切り替えます。多くの場合、元の承認者に属するIPアドレスから誰かが閲覧した場合、視聴者を元のリンクまたはコンテンツにリダイレクトするように、新しい悪意のあるWebサイトをコーディングします。これにより、迅速な検出と削除が複雑になります。

私が最近見た中で最も興味深いおとり商法の攻撃には、誰でもダウンロードして使用できる「無料」のコンテンツを作成する悪者が関係しています。 (Webページの下部にある管理コンソールまたはビジターカウンターを考えてみてください。)多くの場合、これらの無料のアプレットと要素には、「元のリンクが残っている限り、自由に再利用できます」というライセンス条項が含まれています。疑いを持たないユーザーは、元のリンクをそのままにして、誠意を持ってコンテンツを使用します。通常、元のリンクには、グラフィックファイルのエンブレムまたはその他の些細で小さなものしか含まれていません。その後、偽の要素が何千ものWebサイトに含まれた後、元の悪意のある開発者は無害なコンテンツをより悪意のあるもの(有害なJavaScriptリダイレクトなど)に変更します。

レッスン:あなたの直接の管理下にないコンテンツへのリンクには注意してください。あなたの同意なしに即座に切り替えることができるからです。