web-dev-qa-db-ja.com

マルウェアはマルウェアと戦うことができますか?

マルウェアを利用してマルウェア自体と戦うことにより、より優れたマルウェア対策ツールを作成する方法はありますか?私はマルウェア対策のしくみを調べ、アバストブログ(アカデミー)やMcAfeeの記事などの有名なサイトでたくさん検索しましたが、この質問には何も触れていません。

マルウェアが私たちのために戦うことは可能ですか?まだ持っていない技術を必要とする理論的な方法でさえ?

1
Mr. N

免責事項:私はそれらを倫理的であるとは考えておらず、多くの国で合法的でもないため、私の回答に記載されているアプローチのいずれも推奨しません。これは興味深い質問に対する学問的な答えです!


この質問に答えるには、マルウェア自体とマルウェアが使用しているメカニズムを区別する必要があります。 malware として認定されるには、損傷を引き起こすように意図的に設計されたソフトウェアが必要です。これは私たちが望むものではありません。では、なぜあなたの質問に対する答えが明確で響き渡る「いいえ」ではないのですか?

マルウェアの一般的な特性の1つは、システムからシステムへと広がり、ますます多くのターゲットに感染する能力です。 ワーム たとえば、既知の脆弱性を悪用して1台のコンピューターから次のコンピューターに拡散し、各ホップで足場を築きます。これは、リソースを使用し、影響を受けたシステムで(偶然であっても)問題を引き起こす可能性があるため、それ自体ですでに問題を抱えている可能性があります。それに加えて、マルウェアが実行すること(ファイルの暗号化、暗号通貨のマイニング、ダンスサルの画面への表示など)は、マルウェアのペイロードに依存します。

これがアイデアの出所です。意図的に害を与える代わりに、ペイロードは、影響を受けるシステムを直接クリーニングするか、他のマルウェアが拡散に使用する脆弱性にパッチを適用することにより、他のマルウェアと戦うように設計できます。

例:Apache Webサーバーにワーム可能な脆弱性があり、実際に悪用されていると想定しましょう。マルウェア対策ワームは、この脆弱性を正確に使用して影響を受けるシステムに拡散し、そこに足掛かりを得て、後で脆弱性にパッチを当てることができます。マルウェア対策ワームが最初に到着した場合、他の悪意のあるワームがこのパッチを当てた脆弱性を使用してシステムを攻撃することはできません。また、システムがすでに感染している場合、マルウェア対策ワームは、通常のマルウェア対策製品と同じように、システムを削除しようとする可能性さえあります。システムを保護した後、マルウェア対策ワームは、範囲内の他の脆弱なシステムを探し、そこにも広がり、最終的に、保護している現在のシステムから自分自身を削除します。

ありました。マルウェアのような動作を利用して、実際のマルウェアと戦いました。では、なぜそのような行動を思いとどまらせ、警告するのでしょうか?

それは理論的には良さそうに聞こえるかもしれませんが、実験としては興味深いかもしれませんが、それでも同意なしに他のシステムに侵入し、誤ってそれらのシステムに重大な害を及ぼす可能性があります。これが理論的な概念であり、法律を遵守するセキュリティアクターによって実際には行われていない理由です。

0
Demento