web-dev-qa-db-ja.com

一般的なエクスプロイトに関する質問

侵害されたことがわかっているMacBookProの状態を調査していますが、エクスプロイトを完全に削除したかどうかはわかりません(技術的には、これを知ることはできません)。特定のエクスプロイトに焦点を当てようとしていますが、存在しないことを証明することは期待していませんが、いずれにせよ、存在することを証明できます。これにより、基本的な修復からシステム全体の置き換えまで、さまざまなアクションのコースを決定できます。最も極端な場合。

最も簡単な答えを探して、ここに私が持っているいくつかの最初の質問があります:

  • ルートキットをインストールするための一般的なベクトルは何ですか? (そして、私が正しく理解していれば、これにはBIOSだけでなくMBRも含まれますか?それぞれについて同じ質問です。)

  • OSの再インストール後も存続するルートキットはどのくらい一般的ですか(これらはBIOSに限定されていますか、それともMBR感染でこれを実現できますか?)

  • USBキーの感染はどのくらい一般的ですか?多くの政府機関が、従業員が自分のマシンでUSBキーを使用することさえ許可しないというポリシーを数年前から持っていることを知っていますが、これらは高度なセキュリティ設定です。

  • 商用AVツールに知られていない攻撃について懸念がある場合でも、商用ツールは、OSの新規インストールからルートキットを検出するのに役立ちますか?例えば。追加のマルウェアをダウンロードしようとするときに予期しないネットワークトラフィックを検出しますか?

  • 以前に侵害されたマシンで、キーロガーを検出する可能性は本当にありますか?私はそうは思わない(非常に不十分に書かれたキーロガー、またはすでにAVソフトウェアに知られている場合を除く)。

これらすべてについて、詳細について1つの質問を投稿できます。私は、最初に調査するものと行き止まりであるものを理解しようとしています。

1
Jason Boyd
  • ルートキットをインストールするための一般的なベクトルは何ですか? (そして、私が正しく理解していれば、これにはBIOSだけでなくMBRも含まれますか?それぞれについて同じ質問です。)

主にシステムコールをフックすることによって。ここではすべてを網羅することはできないので、これについての本を読むことをお勧めします。私が提案するのは:実用的なマルウェア分析およびルートキットアーセナル

  • OSの再インストール後も存続するルートキットはどのくらい一般的ですか(これらはBIOSに限定されていますか、それともMBR感染でこれを実現できますか?)

ルートキットに依存します。詳細については、ルートキットの兵器庫をお読みください

  • USBキーの感染はどのくらい一般的ですか?多くの政府機関が、従業員が自分のマシンでUSBキーを使用することさえ許可しないというポリシーを数年前から持っていることを知っていますが、これらは高度なセキュリティ設定です。

すべてのルートキットがUSBを使用して提供されるわけではありません。一部のユーザーは、電子メールの添付ファイル、ブラウザのゼロデイ脆弱性などを使用できます。

  • 商用AVツールに知られていない攻撃について懸念がある場合でも、商用ツールは、OSの新規インストールからルートキットを検出するのに役立ちますか?例えば。追加のマルウェアをダウンロードしようとするときに予期しないネットワークトラフィックを検出しますか?

それらはゼロデイエクスプロイト/脆弱性と呼ばれます。セキュリティエンジニアは、行動マルウェア分析と呼ばれる手法を使用してそれらを検出することに取り組んでいます。マウスキャットゲームです。

  • 以前に侵害されたマシンで、キーロガーを検出する可能性は本当にありますか?私はそうは思わない(非常に不十分に書かれたキーロガー、またはすでにAVソフトウェアに知られている場合を除く)。

本物のハッカー(スクリプトキディではない)は、攻撃を持続させます。最初に行うことは、AVを強制終了することです。

1
AK_