プラチナナゲット. 画像ソース: ウィキペディア
ハッキングチームには基本的に2つのタイプがあります. 最初のタイプは迅速な利益の後です, クレジットカード番号と銀行の詳細の収集. 2番目のタイプはより危険です, 被害者の財政状態に直接影響を与えないかもしれませんが, 長期的なスパイ活動に集中しているため.
さらに, このようなハッキングチームの標的は通常、政府機関です。, 諜報機関と防衛機関, またはISPでさえ.
関連記事:
ホットポテトエクスプロイトは最近のWindowsバージョンを危険にさらします
WindowsUpdateの問題をトラブルシューティングする方法
更新と欠陥に関するWindowsユーザーセキュリティバイブル
今, 上記のすべてを攻撃している特定のハッキングチームがあると想像してください, また、MicrosoftのWindows Defender Advanced Threat Huntingチームでさえ、チームの特定にほとんど近づいていないほど永続的です。.
PLATINUMハッキングチームの攻撃の調査
このハッキングチームにはPLATINUMというラベルが付けられています, 化合物にちなんで脅威グループに名前を付けるというMicrosoftの伝統に従って.
PLATINUMのメンバーは、長年にわたって多くの技術を適用してきました, ゼロデイ脆弱性を悪用して被害者のシステムに侵入し、ネットワークに感染させてきました. マイクロソフトは、PLATINUMの兵器を説明する詳細なレポートをリリースしました, そしてそれはに公開されています Microsoft Technet.
テクニックの1つは特に興味深いです – それはに対してWindowsの機能を採用しています… ウィンドウズ. ホットパッチと呼ばれます:
ホットパッチは、プロセスを再起動または再起動せずに更新をインストールするために以前にサポートされていたOS機能です. 管理者レベルの権限が必要です, そして高レベルで, ホットパッチャーは、アクティブに実行されているプロセスの実行可能ファイルとDLLにパッチを透過的に適用できます.
マイクロソフトのホットパッチを活用
ホットパッチは元々WindowsServerで導入されました 2003. 高度なハッキングチームは、WindowsServerに対してホットパッチを使用しています 2003, サービスパック 1, Windows Server 2008, Windows Server 2008 R2, WindowsVistaおよびWindows 7. ホットパッチはWindowsでは利用できません 8 もう, 一方、Windows 10 そのような攻撃を受けにくいです.
マイクロソフトの調査によると、PLATINUMはそれ以来アクティブになっています 2009, 主に政府機関を対象, 南アジアおよび東南アジアの諜報機関および電気通信プロバイダー.
グループは高度に開発し、, 驚くことではないが, すべての攻撃で検出されず成功し続けるのに役立つ不正なテクニック. 最悪のことは、「サイレント」サイバースパイキャンペーンが長期間にわたって発生する可能性があることです, 少しも疑うことなく.
MSのプロチームが調査したサンプルの1つは、ホットパッチをサポートするだけでなく、より一般的なコードインジェクション技術を適用することもできました。, 以下のリストを含む, winlogon.exeなどの一般的なWindowsプロセスに, lsass.exeおよびsvchost.exe:
CreateRemoteThread
NtQueueApcThreadは、ターゲットプロセスのスレッドでAPCを実行します
RtlCreatUserThread
NtCreateThreadEx
だった 本当にサプライズに捕まった?
Arstechnicaが指摘したように, ITコミュニティは、悪意のあるシナリオでのホットパッチの採用について警告を受けました。 2013 SyScanで. これは、セキュリティ研究者が アレックスイオネスク DLLを挿入する必要なしにマルウェアを挿入するようにシステムを変更するためにホットパッチを適用する方法を説明しました. 研究者たちは最近、「私のSyScan 2012 現在、野生で使用されているホットパッチ攻撃!」, PLATINUMに関するMicrosoftのTechnet記事へのリンク.
マイクロソフトはまだ「プラチナを掘り下げている」. 明らかに, 彼らは、誰がこれらの永続的なサイバースパイ活動の糸を引いているのか見当がつかない. なぜ会社がホットパッチ攻撃を回避するために何もしなかったのかは不明である. Windows Defender Advanced Threat Hunting Teamは、これが来るのを間違いなく見ているはずです。.
言うまでもなく 2006, ブラックハット会議中, セキュリティ研究者のAlexSotirovが、ホットパッチの内部動作について説明し、公式の修正がリリースされる前に、サードパーティがWindowsの脆弱性に対するパッチを提案した方法についても話しました。.