web-dev-qa-db-ja.com

ネットワークカードのウイルスを検出する方法

サーバーのネットワークカードがウイルスに感染していたかどうかを確認するにはどうすればよいですか?確認する方法はありますか?

networkvirus
7
gasko peter

ネットワークカードなどの周辺機器のフラッシュメモリに悪意のあるコードを挿入することは理論的には可能ですが、ビデオカードGPUシステムを使用して、特別な目的のハックウェアなどのレインボーテーブルのクラックを行う可能性が高くなります。

国レベルの標的型攻撃飼料となる特殊なプログラミングが必要です。周辺機器のマルウェアは、トラフィックのフィルタリング中にデバイスがクラッシュすることなく正常に動作することを可能にする特別な知識と技術を必要とします。

ネットワークカードに理論的なハッキングが行われた場合、それを検出する唯一の方法は、ネットワークカードに出入りするトラフィックを分析することです。標準的なマルウェア対策には手掛かりがありません。

この種の攻撃はルーターやプリンターに対して行われる可能性が高いです。彼らはすでに、残りのクロックサイクルがたっぷりあるCPUと、いくつかのマイナーMODを簡単に保持できるフラッシュメモリストレージを備えています。私たちの地元の大学には、電子工学専攻の1人が残したユーモラスな「ニッケルを印刷して挿入」というメッセージが書かれたHPがありました。

8
Fiasco Labs

サーバー上のネットワークカードに感染するウイルスはほとんどありません。ウイルスは通常、OSまたはその他のアプリケーションソフトウェアに感染します。したがって、ほとんどの目的で、ネットワークカードのウイルスについて心配する必要はありません。ウイルスが心配な場合は、サーバーを強化するための標準的な手順を実行してください。手順については、サーバーのセキュリティ強化のアーカイブを検索してください(これはOSに依存します)。

ウイルスがネットワークカードのファームウェアを悪意のあるバージョンに置き換える可能性があります可能性あり。それはそれが通常のウイルス対策ソフトウェアによって検出されないので、それは非常に悪いでしょう。ただし、これには非常に高度な攻撃が必要になるため、この戦略が実際に使用されたことを思い出すことはできません。したがって、ほとんどの人はこれを心配する必要はありません。

また、ウイルスに対する最善の防御策は、最初に感染しないことです。ソフトウェアを最新の状態に保ち、ファイアウォールを使用し、脆弱なソフトウェアを実行しないでください。

2
D.W.

私はこれが古い質問であることを知っていますが、前回の投稿以降、これは多くのNICに対して行われました。最も人気があるのは、モバイルブロードバンドまたは4g lte nicです。私は今年23日にDef conに参加し、nicカードファームウェアで攻撃がどれほど簡単かつ迅速に発生するかに驚いていました。新しいファームウェアがネットワークインターフェイスカード上にあると、PCの高度な制御を取得するのは非常に簡単でした。

その話のビデオはyoutubeにありますが、その話の名前がわからないので、少し掘り下げる必要があります。

1
Mat Holzschuh

Xが感染しているかどうかは決してわかりませんが、良い考えしかありません。

私が見ているように、ネットワークカードで悪用される可能性のある3つの領域があります。

  1. OSのドライバー(ただし、これはこの質問の一部ではありません)
  2. ネットワークカードファームウェア
  3. インメモリ

攻撃者にとってコスト対労力が高いため、メモリに何かが存在することはまずありません。再起動するとウイルスとネットワークカードがクリアされ、通常、ウイルスを収容するための大量のメモリは含まれません。ファームウェアへのエントリとしてネットワークカードを使用する可能性がはるかに高くなります。

したがって、残りの部分は、ファームウェアをチェックすることです。見つけるのが最も速かった例として、インテルのサポートを使用します。 https://www-ssl.intel.com/content/www/us/en/support/software/manageability-products/000005790.html

  1. システムのBootUtilを準備します(ダウンロードして管理者権限を持っています)
  2. 実行:bootutil -nic = XX -saveimage -file = C:\ Temp\MyCurrentNIC.bin
  3. 保存されたファイルの(SHA1/SHA256)ハッシュを作成する
  4. 同じタイプ/ファームウェアバージョンの別のNIC=でプロセスを繰り返すか、Webサイトからファームウェアをダウンロードします
  5. 「既知の」適切なファイルの(SHA1/SHA256)ハッシュを作成する
  6. 一致を確認する
  7. (オプション)キャプチャしたファームウェアをセキュリティ分析のために製造元に送信します

これを回避する簡単な方法は、NIDS/Wiresharkを使用して、既知の署名に対する既知の不良パケットを、 http://www.netresec.com/?page=PcapFiles などのリソースを使用して探すことです。これにより、感染しているマシン/デバイスのソースIPがわかります。通常、従来の方法では、ファームウェアチェックに頼らずにウイルスを除去できます。

1
DarkSheep