Security News

MSSysmonがマルウェアの改ざんプロセスを検出するようになりました

伝えられるところによると、Microsoftという名前のハイテク大手企業がSysmon 1.3をリリースし、それに新しい機能を追加しました。レポートによると、この機能は、プロセスの空洞化またはプロセスのハーパダーピング技術を使用してプロセスが改ざんされているかどうかを検出できます。 セキュリティアプリケーションによる検出を防ぐために、マルウェア開発者は悪意のあるコードをWindowsの正当なプロセスに挿入するために使用します。この戦術により、マルウェアの実行は許可されますが、プロセスはタスクマネージャーのバックグラウンドでWindows実行プロセスとして表示されます。 プロセスホローイングと言えば、マルウェアが一時停止されたプロセスのように見える正当なプロセスを起動し、正当なコードを独自の悪意のあるコードに置き換える手法です。そして、コードは、元のプロセスに割り当てられている権限を使用してバックグラウンドで実行されます。 Process Herpaderpingは、マルウェアが感染したディスク上のイメージを変更し、正当なアプリケーションのように見える、より高度な方法ですが、次のマルウェアが読み込まれます。セキュリティアプリがディスク上のファイルをスキャンすると、悪意のあるコードがシステム内で実行され続けている間、有害なファイルは検出されません。 これらに加えて、マルウェアIDの多くは、プロセス改ざん技術を利用してその検出を防ぎます。マルウェアには、Mailto / defray777ランサムウェア、TrackBot、BazarBackdoorなどがあります。 Sysmonv1.3でプロセスの改ざんを有効にする方法 WindowsのSysmonまたはSystemMonitorアプリをまだ知らない人は、システムの悪意のあるプロセスを監視するように設計されたSysinternalsツールであることを知っておく必要があります。さらに、これらのプロセスをWindowsイベントログに記録します。 Sysinternalの公式ページまたはhttp://live.sysinternals.com/sysmon.exeからアプリケーションをダウンロードできます。 プロセス改ざん検出機能を有効にするには、PCユーザーまたは管理者が「プロセス改ざん」構成オプションを構成ファイルに追加する必要があります。 Sysmonは、プロセスの作成やファイル時間の変更などの基本的なイベントを構成ファイルなしで監視するだけであることに注意してください。 sysmon-Sコマンドを実行して表示できる新しいディレクティブもSysmon4.50スキーマに追加されました。 次の構成ファイルを使用して、プロセスの改ざん検出を可能にする非常に基本的なセットアップを行うことができます。 <Sysmon schemaversion = "4.50">...

2021年のWindows10について:Microsoftに何を期待するか

2021年がようやく始まったとき、テクノロジーの巨人であるMicrosoftは、Windows10という名前のOSのいくつかの新機能とアップデートを他の製品とともにリリースすることを計画しています。 同社の最新の声明によると、Windows 11はリリースされませんが、Windows 10の新しいアップデートがリリースされ、新しい機能や改善点などが追加されます。 また、同社はWindows 10、ARM上のWindows、およびWindows10Xを使用した新しいSurface製品の開発を継続します。 Windows 1021H1についての詳細 この用語について言えば、これはWindows 10の新しい非難バージョンまたはアップデートであり、今年の春の後半にビルド番号19043でリリースされる予定です。 2020年5月の更新と比較して、この新しい21H1更新には、企業ユーザー向けの品質改善、バグ修正、セキュリティ強化などのマイナーリリースが含まれる予定です。 つまり、新しいアップデートはコンピュータにすばやくインストールされ、問題の少ない多くの新機能がもたらされることを願っています。 Windows 10X 21H1に加えて、MicrosoftはWindows10Xと呼ばれる新しいモジュラーOSの発売も計画されています。これは当初デュアルスクリーンデバイス向けに発表されました。 デュアルスクリーンデバイス用のWindows10Xは保留中ですが、マイクロソフトは現在、シングルスクリーンデバイス用のWindows 10Xの入手を試みており、今年の春にリリースされる予定です。 伝えられるところによると、Windows 10Xは、教育分野で利用可能なさまざまな手頃な価格のローエンドハードウェアのニーズを満たすように更新されており、より高範囲のデバイスでもデビューすると噂されています。 同社によれば、Windows...

最近のランサムウェア攻撃者では、中国の国家が後援するAPTが疑われています

 複数の企業に対する最近のマルウェア攻撃に関するセキュリティ研究者の分析によると、中国の国家が後援するハッキンググループであるAPTがこの活動に関与している可能性があります。 攻撃者は2020年に少なくとも5社で発生しました。 ProferoとSecurityJoesの企業の研究者によると、攻撃者は別のサードパーティプロバイダーを介して感染したサードサービスプロバイダーを介して標的に到達しました。 攻撃者はBitLockerに依存していました。 Windowsのドライブ暗号化ツールを使用して、いくつかのコアサービスを正常に暗号化します。トレンドマイクロから報告され、2010年以降アクティブであったAPT27およびWinntiに起因するDRBControlにリンクされたマルウェアサンプル。 ProferoとSecurityJoesは共同でレポートを提出しました。これは、これら2つのグループがDRBControlキャンペーンで使用されたものにClamblingバックドアを使用していることの明確な証拠です。また、APT27に起因する攻撃で修正バージョンが確認されたASPXSpyWebshel​​lを発見しました。 レポートには、「この特定の感染チェーンの背後にいるのは誰かに関して、コードの類似性とTTP の点で、APT27 /エメッセリーパンダと非常に強い関連があります。 悪意のある攻撃者は、DLL側の読み込みに対して脆弱な古いGoogleアップデータ実行可能ファイルを使用して、システムメモリにPlugXおよびClambingマルウェアを展開しました。 「2つのサンプルのそれぞれについて、正当な実行可能ファイル、悪意のあるDLL、およびペイロードをそれ自体から抽出してメモリ内で実行するためのシェルコードで構成されるバイナリファイルがありました。両方のサンプルは署名されたGoogleアップデータを使用し、両方のDLLはgoopdate.dllというラベルが付いていますが、PlugXバイナリファイルの名前はlicense.rtfで、Clamblingバイナリファイルの名前はEnglish.rtfです。」 さらに、2017年の脆弱性(CVE-2017-0213)が悪用され、システムの特権を昇格させたと考えられています。 Security Joesのセキュリティアナリストは、これらの攻撃からの重要なポイントは、金銭主導のキャンペーンへのハッカーグループの関与であると述べました。  このような悪意のあるグループは、政府がこれらの脅威と戦うために統一されたアプローチを持つべきであることを示しています、とプロフェロの研究者は言いました。

WhatsAppは1月1日からスマートフォンの一部の作業を停止します

WhatsAppユーザーは、何百万人ものユーザーが2021年1月からこのメッセージングアプリを使用することができないので、いくつかの悪いニュースを持っています。彼らは古いソフトウェア上で実行されているように、このアプリケーションをサポートしない複数の古いiPhoneやAndroid携帯電話があります。非常に人気のあるメッセージングアプリは、少なくともiOS 9またはAndroid 4.0.3オペレーティングシステムに基づいていないデバイス上で実行することはできません。 その後、Facebookが所有するメッセージングアプリは、iOS 9バージョンのすべてのiOSスマートフォンでアクセスすることができ、Android 4.0.3以降のバージョンでも使用できます。WhatsAppは毎年オペレーティングシステムの最小の必要性を更新するので、古いデバイスへのアクセスをブロックすることは非常に正常なプロセスです。あなたが古いジェイルブレイクiPhoneを使用している場合は、その上でアプリケーションを使用することができますが、あなたはそれを更新したりサポートしたりすることはできません。 動作を停止するデバイスのリスト: iPhone デバイス: iOS 9 またはすべてのバージョンを搭載した iOS デバイスを使用しているユーザーは、巨大なメッセージング アプリにアクセスできます。それにもかかわらず、iPhone 4以下のモデルを持つユーザーは、アプリケーションを使用して連絡先を通信することはできません。したがって、まだiPhone 4S、iPhone 5、iPhone 5S、iPhone 6、iPhone...

アドビは、FlashPlayerを削除するためにWindows10でアラートを表示するようになりました

明日、Flash Playerの寿命は終わり、WindowsユーザーはAdobeからアラートを受け取り始め、FlashPlayerのアンインストールを提案します。アプリケーションがインストールされると、次のコマンドを実行する「Adobe Flash PlayerPPAPINotifier」という名前のスケジュールされたタスクが作成されます。 "C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe" -update pepperplugin コマンドが実行されるとすぐに、Adobe Flash Playerを使用してくれたことをユーザーに感謝する警告メッセージが表示されます。また、アプリの寿命が近づいているため、アプリをアンインストールすることをお勧めします。 以下に示すアラートメッセージに表示されるテキスト: このアラートは、Adobe Flash Playerを使用してくれたユーザーに感謝し、2021年1月12日以降は機能しなくなるため、プログラムをアンインストールすることをお勧めします。   Adobe FlashPlayerをご利用いただきありがとうございます アドビは2020年12月31日をもってFlashPlayerのサポートを終了します。 システムを保護するために、Adobeは2021年1月12日以降FlashPlayerでのFlashコンテンツの実行をブロックします。詳細についてはAdobeFlash PlayerEOLの一般情報ページを参照してください。...

マイクロソフトは、モダンスタンバイ機能を備えたWindows10Xを発売します

マイクロソフトは数か月間、Windows10Xという名前のWindows10の新しいバージョンに取り組んできました。巨大なハイテク企業は今年、新しいオペレーティングシステムの発売を計画していましたが、計画は延期されました。現在、Windows10コアOS上に構築されたWindows10Xは、来年の第2四半期に正式に公開される予定です。詳細は、リリースまでわずか数か月でオンラインで公開されます。 レポートによると、MicrosoftのWindows 10Xには、インスタントオンで常時接続のエクスペリエンスを提供する「モダンスタンバイ」機能が搭載される予定です。現在、ほとんどのWindows搭載ラップトップは、スリープモードから起動するのに時間がかかります。名前が示すように、インスタントオンで、同社は蓋が開いた瞬間にデバイスが再起動する機能を提供することを目標としています。 常時接続機能は新しいオペレーティングシステムへのもう1つの追加機能であるため、スリープモード中でもアプリケーションがバックグラウンドで動作できるようになります。これは、メールなどのアプリをサポートし、バックグラウンドでメールメッセージを取得できるようにします。ほとんどのWindowsストアアプリは、この機能に適していると言われています。 最新のスタンバイ機能に加えて、今後のWindows 10Xには、新しいファイルエクスプローラーを含むさまざまな機能とアップグレードが付属する予定です。会社の状況を知るには、あと数か月待つ必要があります。 知らないユーザーは、Windows 10Xスキームはデュアルスクリーンと折りたたみ式デバイスに焦点を当てて開始しましたが、数か月前に、リリースは会社によって延期されました。初回リリース。

Azure / Microsoft365の悪意のあるアクティビティ検出ツールがCISAによってリリースされました

PowerShellベースのツールは、Cyber​​-security and Infrastructure Security Agency(CISA)によってリリースされたAzure / Microsoft365環境で潜在的に侵害されたアプリケーションとアカウントを検出するのに役立ちます。マイクロソフトは、盗まれた資格情報とアクセストークンが、Azureの顧客を標的にするために脅威アクターによってどのように積極的に使用されているかを明らかにしています。 CISAは、Azure / MicrosoftO365環境のユーザーとアプリケーションに潜む異常で潜在的に悪意のあるアクティビティを検出するための無料のツールを作成しました。このツールはイベントレスポンダーによる使用が計画されており、いくつかの領域で見られる現在のIDおよび確認ベースの攻撃に共通するアクションにはほとんど注意を払っていません。 CISAのツールの動作: CISAは、CISAのクラウドフォレンジックチームによって発明され、Sparrowという名前のPowerShellベースのツールであり、照会モジュールのより大きなセットを絞り込むために使用できます。 Sparrowは、統合されたAzure / M365監査ログで侵入の痕跡(IOSC)をチェックします。リストでAzureADドメインを確認し、AzureサービスプリンシパルとそのMicrosoft Graph APIアクセス許可を確認して、悪意のある可能性のあるアクティビティを検出します。 CrowdStrikeは無料のAzureセキュリティツールをリリースしました: サイバーセキュリティの安全なcrowdStrikeは、マイクロソフトからの警告を受けたハッキン​​グの失敗を調査した後、検出ツールをリリースしました。侵害されたAzure認証を使用して会社の電子メールを読み込もうとしたMicrosoftAzureリセラーアカウント。 SolarWinds違反後の内部環境と本番環境を分析した後。...

CrowdStrikeは、攻撃を試みた後、無料のAzureセキュリティツールをリリースします

Microsoftは、最も人気のあるサイバーセキュリティ会社の1つであるCrowdStrikeに、Microsoft Azureの資格情報に侵害されて、サイバー犯罪者が会社の電子メールを読もうとしたことを通知しました。今月初め、SolarWindsネットワーク管理会社は、サイバー攻撃に見舞われ、サイバー犯罪者がソフトウェアを変更して、サプライチェーン攻撃を通じて顧客のネットワークにバックドアをインストールしたことに気づきました。 この攻撃により、SolarWindsの顧客はネットワークを分析して、サプライチェーン攻撃に感染していないかどうかをすばやく確認することができました。 CrowdStrikeは木曜日、内部環境と本番環境の調査を行った後、SolarWindsの侵害が彼らに影響を与えたシンボルを発見しなかったと述べました。 マイクロソフトは分析の実行中に、12月15日にCrowdStrikeに、侵害されたMicrosoftAzureリセラーのアカウントがCrowdStrikeの電子メールを読み取ろうとするために利用されたと語った。 「具体的には、CrowdStrikeのMicrosoftOfficeライセンスの管理に使用される再販業者のMicrosoftAzureアカウントが、数か月前の17時間にMicrosoftクラウドAPIへの異常な呼び出しを行っていることが確認されました。電子メールを読み取ろうとしましたが、Microsoftの確認により失敗しました。 。安全なITアーキテクチャの一部として、CrowdStrikeはOffice365の電子メールを使用しません」とCrowdStrikeのCTOであるMichaelSentonasが明らかにしました。 この攻撃の試みを知った後、CrowdStrikeはAzure環境を調査し、影響を受けていないことを発見しました。それにもかかわらず、この調査中に、Azureの管理ツールを使用して、Azureテナント内のサードパーティのリセラーおよびパートナーに割り当てられた特権をカタログ化することは困難であることがわかりました。 「調査に必要な手順の多くが文書化されておらず、APIを介して監査できず、過剰であることが判明した重要な情報を表示するためのグローバル管理者権限が必要であることが特に困難でした。重要な情報は簡単にアクセスできる」と語った。 CrowdStrike Reporting Tool for Azure(CRT)ツールがCrowdStrikeによってリリースされ、管理者がMicrosoft Azure環境を調査し、サードパーティのリセラーおよびパートナーに割り当てられている特権を確認できるようになりました。

Dridexの作者は、偽のAmazonギフトカードメールで被害者を標的にしています

 サイバーセキュリティ研究会社のCyber​​reasonは、マルウェアが電子メールで送信されるAmazonギフト券を装って配布される新しいフィッシングキャンペーンを発見しました。 スパムメールは、ユーザーがシングルクリックで利用しなければならない100ドルのギフト券を提供することになっていると思わせることで、メールページにあるボタンを開くように人々を誘惑しようとします。 ただし、受信者が提供されたボタンをクリックすると、「Amazon_Gift_Card」、「Order_Gift_Cart」、「Amazon_eGift-Card」のような名前の悪意のあるWord文書をダウンロードすることになります。 この詐欺は、情報を盗み、キーストロークを記録し、スクリーンショットを撮り、追加のマルウェアをダウンロード/インストールするバンキング型トロイの木馬であるDridexマルウェアを配布します。 Microsoft Officeのオンラインバージョンの添付ファイルなので、ユーザーにボタンをクリックするように求められます。そうすることで、このファイルがマクロコマンドを実行してDridexマルウェアをダウンロード/インストールできるようになります。 この詐欺に注意してください。ギフトカードを装ってMicrosoftWord文書をダウンロードして開くように求めるメールを受け取ったら、すぐに閉じてください。ご覧のとおり、マルウェアの感染は、そのようなファイルを開いてマクロコマンドを有効にすると発生します。したがって、コンピュータのセキュリティと個人の安全を確保したい場合は、そうしないことが重要です。 Amazonは、ギフト券を利用するためにファイルをダウンロードするように求めることは決してないという事実を覚えておいてください。代わりに、Amazonの公式ウェブサイトで利用してアカウントに資金を提供する特定のコードが記載された正規のAmazonギフトカードを提供します。

Microsoft 365ディフェンダーは、電子メール通知を通じてインシデントまたは更新についてアラートを出すようになりました

Microsoft 365 Defenderは、脅威保護ソリューションのセキュリティインシデント電子メール通知を通じてアラートを表示するためのサポートが追加されました。 Microsoft 365ディフェンダースイートは、セキュリティチームがエンタープライズ環境でデバイス、IDデータ、およびアプリケーションを保護するのに役立ちます。 マイクロソフトは本日の投稿から、新しいセキュリティインシデントまたは既存のセキュリティインシデントの更新について電子メールで管理者に警告するセットアップにMicrosoft365ディフェンダーが含まれていることを通知します。 同社は、「メール通知には、インシデント名、重大度、カテゴリなど、インシデントに関する重要な詳細が含まれています。インシデントに直接アクセスして、すぐに調査を開始することもできます」と説明しています。 セットアップを有効にすると、管理者はAPI統合を使用せずに、すべての新しいインシデントとその後の更新を追跡できます。簡単に開いて、電子メール通知からインシデントの調査を開始できます。 インシデントの重大度に基づいて、またはデバイスグループごとに受信する電子メール通知を構成できます。また、最初のインシデントでのみ配信されるように電子メール通知を設定したり、受信者を追加/削除したりできます。電子メール通知を構成するには、管理者はセキュリティの管理権限を必要とします。 Microsoftは次のように述べています。「同様に、組織でロールベースのアクセス制御(RBAC)を使用している場合、管理が許可されているデバイスグループに基づいて通知を作成、編集、削除、および受信することしかできません。これは、セキュリティ運用プロセスを移行し、インシデントのアラート相関機能によって提供される大幅な効率改善を活用します。」