アカウント名:
パスワード:
ローカル権限でマルウェアぽい挙動を再現できましたというだけですので侵入経路がやすくないと脅威度はほぼありませんなによりWSLを有効にしているのは逸般人しかいません
メール添付ファイルやHTMLメールでは今までと同じ脅威度で対応可能
ブラウザからのドライブバイ ダウンロード等へは今までと同じ脅威度で対応可能
共有フォルダやドライブへの感染ファイルや自動実行ファイルへは今までと同じ脅威度で対応可能
これらの基本を押さえてている逸般人なら問題ないかと
WSLを外部公開しろという無茶な業務命令下にある逸般人の方ではWSLでのFail2Ban等を実用化できるように努める必要はありそうですが
> 侵入経路がやすくないと脅威度はほぼありません
ってのは大間違いですよ
元記事はタイトルからして「Theory confirmed: Lumen Black Lotus Labs discovers Linux executable files have been deployed as stealth Windows loaders」で
> 今までと同じ脅威度で対応可能
が間違いだと指摘する内容になっています
大雑把に内容を解説すると- 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない- 今後のWindowsはELF形式のフ
手っ取り早い対策としてはLinux(と将来に向けてAndroid)向けのエージェントのエンジン/シグネチャをWindowsエージェントに組み込むしかないんだろうけど、Sophos/Norton/Kaspersky/Trendmicro(!)は比較的早そうだけど、他はサーバー向けのものをどう移植するかで結構時間かかりそう。一番厄介なのはMcAfeeで、Windows側は自分でエンジン作るのやめちゃったから連携が大変だと思う。
実行ファイルをそうと認識して挙動を分析する系統の機能は働かないだろうけど、ファイル内のパターンマッチは今でも余裕で出来てるからそっちでしのぐんじゃね
今どきは攻撃側は攻撃手段を使い捨てにしてるから、パターンマッチは意味がないとは言わないけどあまり防御機構としては有効ではなくなってる。(ただ、アンダーグラウンド市場に広く出回っている奴や時間差狙いに対しては依然として有効ではあるので、多層防御としては間近ってない。)ウイルスチェックプログラム提供側もパターンマッチについてはTraditional functionといっているレベル。なので、挙動監査が必要になるんだけど、WSLの仕組み上従来のWindows側だけだときついので、どうしましょうね?ってのが今の段階。WSL自体が次期バージョンではサイレントインストールできそうな環境が整うので、結構厄介。
つってもホントの使い捨て攻撃プログラムって挙動監査で引っかかるんかね?ランサムウェア位激しい動作するプログラムなら比較的楽に挙動検知で引っ掛けられそうなものなんだけど、ランサムウェアの実行を検知・ブロックするってそれ単体でウリ文句なる臭いし、そうするとそこまでのウリがない挙動監視系のやつって実際の所何をどこまで見ているのやら。
ちょっとアレな挙動するプログラムとかたまーに書くけど、パターンマッチの誤爆位しか食らったこと無いのよな……ヒット位置を絞り込んでいくとFreeTypeの一部っぽかったり、MSVCの標準ライブラリの一部(DLL用スタティックリンク版が特定のオフセット量でビルドされるとマッチ)だったり。アンチウィルス業界ってその程度かよって印象しかない。
結局大多数を標的にした攻撃はパターンマッチの系統(難読化鍵変える程度の自己変異さえ捉えられればヨシ)で引っ掛けて、完全な標的型は不特定多数のユーザにおける実行実績ベースの警告(SmartScreenみたいなやつ)で実行を阻止するとかになりそうな気がするんだよな。であれば実行ファイル起動時にシグネチャ見る程度でどっちも事足りるという。あえてやるなら今のうちにWindows用ELFでエントロピーざっくり見て難読化掛かってたら問答無用で弾くとかかな。今はもうパッカーで圧縮してサイズ節約なんて時代でもないし、実行ファイルをスクランブルしてたら即弾く。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
脅威度はまだ低い (スコア:1)
ローカル権限でマルウェアぽい挙動を再現できました
というだけですので
侵入経路がやすくないと脅威度はほぼありません
なによりWSLを有効にしているのは逸般人しかいません
メール添付ファイルやHTMLメールでは
今までと同じ脅威度で対応可能
ブラウザからのドライブバイ ダウンロード等へは
今までと同じ脅威度で対応可能
共有フォルダやドライブへの感染ファイルや自動実行ファイルへは
今までと同じ脅威度で対応可能
これらの基本を押さえてている逸般人なら問題ないかと
WSLを外部公開しろという無茶な業務命令下にある逸般人の方では
WSLでのFail2Ban等を実用化できるように努める必要はありそうですが
Re: (スコア:3, 参考になる)
> 侵入経路がやすくないと脅威度はほぼありません
ってのは大間違いですよ
元記事はタイトルからして「Theory confirmed: Lumen Black Lotus Labs discovers Linux executable files have been deployed as stealth Windows loaders」で
> 今までと同じ脅威度で対応可能
が間違いだと指摘する内容になっています
大雑把に内容を解説すると
- 今までのWindowsはELF形式のファイルを実行できなかった。だから現時点でウイルス対策ソフトなどはELF形式のファイルをチェックしていない
- 今後のWindowsはELF形式のフ
Re: (スコア:0)
手っ取り早い対策としてはLinux(と将来に向けてAndroid)向けのエージェントのエンジン/シグネチャをWindowsエージェントに組み込むしかないんだろうけど、
Sophos/Norton/Kaspersky/Trendmicro(!)は比較的早そうだけど、他はサーバー向けのものをどう移植するかで結構時間かかりそう。
一番厄介なのはMcAfeeで、Windows側は自分でエンジン作るのやめちゃったから連携が大変だと思う。
Re: (スコア:0)
実行ファイルをそうと認識して挙動を分析する系統の機能は働かないだろうけど、
ファイル内のパターンマッチは今でも余裕で出来てるからそっちでしのぐんじゃね
Re: (スコア:0)
今どきは攻撃側は攻撃手段を使い捨てにしてるから、パターンマッチは意味がないとは言わないけどあまり防御機構としては有効ではなくなってる。
(ただ、アンダーグラウンド市場に広く出回っている奴や時間差狙いに対しては依然として有効ではあるので、多層防御としては間近ってない。)
ウイルスチェックプログラム提供側もパターンマッチについてはTraditional functionといっているレベル。
なので、挙動監査が必要になるんだけど、WSLの仕組み上従来のWindows側だけだときついので、どうしましょうね?ってのが今の段階。
WSL自体が次期バージョンではサイレントインストールできそうな環境が整うので、結構厄介。
Re:脅威度はまだ低い (スコア:0)
つってもホントの使い捨て攻撃プログラムって挙動監査で引っかかるんかね?
ランサムウェア位激しい動作するプログラムなら比較的楽に挙動検知で引っ掛けられそうなものなんだけど、
ランサムウェアの実行を検知・ブロックするってそれ単体でウリ文句なる臭いし、
そうするとそこまでのウリがない挙動監視系のやつって実際の所何をどこまで見ているのやら。
ちょっとアレな挙動するプログラムとかたまーに書くけど、
パターンマッチの誤爆位しか食らったこと無いのよな……
ヒット位置を絞り込んでいくとFreeTypeの一部っぽかったり、
MSVCの標準ライブラリの一部(DLL用スタティックリンク版が特定のオフセット量でビルドされるとマッチ)だったり。
アンチウィルス業界ってその程度かよって印象しかない。
結局大多数を標的にした攻撃はパターンマッチの系統(難読化鍵変える程度の自己変異さえ捉えられればヨシ)で引っ掛けて、
完全な標的型は不特定多数のユーザにおける実行実績ベースの警告(SmartScreenみたいなやつ)で実行を阻止するとかになりそうな気がするんだよな。
であれば実行ファイル起動時にシグネチャ見る程度でどっちも事足りるという。
あえてやるなら今のうちにWindows用ELFでエントロピーざっくり見て難読化掛かってたら問答無用で弾くとかかな。
今はもうパッカーで圧縮してサイズ節約なんて時代でもないし、実行ファイルをスクランブルしてたら即弾く。