レンタル監視業界の テクノロジー企業や政府が脅威の規模に取り組む中、最近、強力なモバイル スパイウェア ツールへの注目が高まっています。 しかし、ラップトップやデスクトップ PC を標的とするスパイウェアは、国家が支援するスパイ活動から金銭目的の詐欺まで、さまざまなサイバー攻撃で非常に一般的です。 この脅威の増大により、インシデント対応会社の Volexity とルイジアナ州立大学の研究者は、先週ラスベガスで開催された Black Hat セキュリティ カンファレンスで、Windows 10、macOS 12、および Linux でより多くの PC スパイウェアを検出するために実務家が使用できる新しく洗練されたツールを発表しました。コンピュータ。
広く使用されている PC スパイウェア (多くの場合、ターゲットをキーログし、マウスとクリックの動きを追跡し、コンピューターのマイクを介して聞き取り、カメラから写真やビデオを取得するタイプ) は、攻撃者が意図的に離れるように設計しているため、検出が困難な場合があります。最小限のフットプリント。 通常のアプリケーションのようにターゲットのハード ドライブに自身をインストールするのではなく、マルウェア (またはその最も重要なコンポーネント) が存在し、ターゲット コンピューターのメモリまたは RAM でのみ実行されます。 これは、特定の古典的な危険信号を生成せず、通常のログに表示されず、デバイスの再起動時に消去されることを意味します.
この限界空間で何が起こっているかを評価するための技術を開発することを目的とした「メモリフォレンジック」の分野に足を踏み入れてください。 Black Hat で、研究者はオープンソース メモリ フォレンジック フレームワークの調査結果に基づく新しい検出アルゴリズムを具体的に発表しました。 ボラティリティ.
Volexity のディレクターである Andrew Case 氏は WIRED に次のように語っています。 (Case は Volatility の主任開発者でもあります) しかし、記憶サンプルからの証拠やアーティファクトが法廷や何らかの法的手続きで使用されるためには、ツールが期待どおりに機能し、アルゴリズムが検証されていることを知る必要があります。 この Black Hat の最新のものは、検証済みのフレームワークを構築するための取り組みの一環として、実際にいくつかのハードコアな新しい技術です。」
Case 氏は、拡張されたスパイウェア検出ツールが必要であることを強調しています。なぜなら、Volexity やその他のセキュリティ企業は、ハッカーがメモリのみのスパイウェアを攻撃に展開する実際の例を定期的に目にしているからです。 たとえば、7 月末には、Microsoft とセキュリティ会社 RiskIQ が 公開された オーストリアの商用スパイウェア企業 DSIRF による「Subzero」マルウェアに対抗するための詳細な調査結果と軽減策。
「目撃された犠牲者 [targeted with Subzero] これまでのところ、オーストリア、英国、パナマなどの国の法律事務所、銀行、戦略コンサルタントが含まれています」と Microsoft と RiskIQ は書いています。 Subzero のメイン ペイロードは、「検出を回避するためにメモリ内にのみ存在します。 キーロギング、スクリーンショットのキャプチャ、ファイルの抽出、リモート シェルの実行、任意のプラグインの実行など、さまざまな機能が含まれています。」
研究者は特に、さまざまなオペレーティング システムが「ハードウェア デバイス」やセンサー、キーボードやカメラなどのコンポーネントとどのように対話するかについて、検出を強化することに重点を置いていました。 システムのさまざまな部分がどのように動作し、相互に通信するかを監視し、新しい動作や接続を探すことで、メモリ フォレンジック アルゴリズムはより潜在的に悪意のあるアクティビティをキャッチして分析できます。 たとえば、ユーザーがシステムにログインできるようにする機能など、常に実行されているオペレーティング システム プロセスを監視し、実行開始後にそのプロセスに追加のコードが挿入された場合にフラグを立てることが考えられます。 コードが後で導入された場合、悪意のある操作の兆候である可能性があります。