Contents

何が起こるかを確認するためだけに、Windows XP に最新のマルウェアをインストールしました

<本文>/images/windows-xp-malware-antivirus-feature-image.jpg

現在、Windows XP を使用するのは危険なオペレーティング システムです。 Windows 11 は長い間サポートされておらず、多数のセキュリティ ホールや問題があり、Windows 11 などの最新の対応するものと比較すると、ターゲットや攻撃が非常に簡単になっています。しかし、ほとんど逆説的ですが、攻撃の防止に役立つ、古いことによる興味深い結果があります。非常に古いため、最新の Windows 機能の多くが欠けています…それには、マルウェアが悪用する可能性のある機能も含まれています。そのため、Windows XP をインストールし、そこにマルウェアをインストールしようとしました。

まず第一に、これを自分で行うことはお勧めしません。分離された仮想マシンを作成し、ファイアウォールを使用してホーム ネットワークの残りの部分にアクセスできないようにしました。次に、マルウェアをダウンロードして実行し、何が起こるかを確認しました。驚いたことに、最新のマルウェアを実行させることさえ実際には非常に困難でした。存在しないシステム サービスを探したり、存在しない命令を実行しようとしたりしました。

それは、Windows XP が「安全な」オペレーティング システムであることを意味しますか?できれば Windows XP を使用しない方がよいことは、どれだけ強調してもしきれないでしょう。 Windows XP セットアップに影響を与えるマルウェアが存在します。そうは言っても、より狡猾になるように設計された最新の回避技術を使用して作成された、より蔓延しているマルウェアの一部は、Windows XP では実行できない可能性があります。これは非常に興味深いもので、デバッガーとDependency Walkerを使用して、正確に何が問題になったのかを調査しました。

一部のマルウェアは 64 ビット マシンのみをターゲットとします

これが問題になるとは予想していませんでした

/images/windows-xp-64-bit-edition.jpg 画像クレジット: Microsoft

Pikabot はマルウェアのダウンローダーおよびローダーであり、検出、テスト、およびデバッグを回避するために多くの高度な技術を採用しています。ただし、ここに問題があります。vx-underground によって共有されているマルウェア サンプルは Win64 実行可能ファイルであるため、ほとんどの Windows XP インストール環境では実行できません。これを実行できるのは Windows XP Professional x64 Edition だけですが、ここではそれを使用していません。ただし、Pikabot には他にも亜種があり、これらは低位の 32 ビット Windows XP マシン上で動作する可能性があります。

Win64 実行可能ファイルであるサンプルを多数見つけました。ほとんどのサンプルには 32 ビット相当のものが必要とされる場合に備えて含まれていると思いますが、一部の攻撃者が気にしなかったとしても驚かないでしょう。あなたの目的が誰かの資格情報を盗むことである場合、32 ビット マシンに貴重な情報が含まれている可能性はどのくらいありますか?それが企業のレガシー システムの一部である可能性があると主張することもできますが、概して、時間や労力を費やす価値はあまりないのではないかと思います。

考えてみてください。なぜ開発者は、Windows の 32 ビットと 64 ビットの両方のインストールをターゲットにするマルウェアをわざわざ作成し、その上で Windows XP をサポートするという苦労をするのでしょうか?それは、おそらくほとんど利益にならないものに対して多大な努力をすることです。古い W​​indows プラットフォーム向けに構築されたマルウェアもありますが、新しく洗練されたサンプルは、古いシステムでの動作を調整しようとするよりも、最新のオペレーティング システムのより高度な機能をターゲットにして利用することで、より多くの利益を得ることができます。

まさにそれを行うと思われるマルウェアの 1 つが CryptBot です。実行時に独自のコードを動的に生成しますが、Windows XP では動作しません。

クリプトボット

高度なマルウェアはすぐに問題を引き起こす

CryptBot は、基本的な情報を盗む目的で実行される悪名高いマルウェアです。デスクトップのスクリーンショットを撮り、コマンド アンド コントロール サーバーに送信する資格情報を収集し、取得できるすべての機密情報を真空にしようとします。これはかなり最新のマルウェアですが、Windows XP 仮想マシン上で実行しても機能しません。それは何もダウンロードせず、何も盗もうともせず、ただ…消えるだけです。なぜ?

デバッガーを起動すると、最も考えられる原因が何であるかをすぐに突き止めることができました。初めて実行したとき、アクセス違反に達したときにデバッガーが停止しました。 2 回目は無効な操作に達し、続行できませんでした。 CryptBot にはデバッグの試みに対抗する機能が組み込まれていますが、その非決定的な性質と、メモリ内のどこに到達したか、つまり完全に未定義の場所は、CryptBot の動的コード生成の結果であるようです。このマルウェアは、実行時に自身を復号化して変更するため、ポリモーフィックとして知られています。実際には存在しない特定の Windows 機能が利用可能であると期待すると、予期しないコード パスが発生し、最終的にアプリケーションがクラッシュする可能性があります。

これが依然としてアンチデバッグ メカニズムである可能性は常にありますが、それがデバッガの外部では実行できないこともすでに確認されています。アンチデバッグ メカニズムが問題を悪化させた可能性もありますが、それが XP 上で実行できないことは明らかです。他の研究者が発表したものによると、デバッガで実行しても、実行できないメモリのランダムなスライスにランディングされることはなく、代わりにプログラムが終了するはずです。ここでは、スクランブルされたコードを生成してクラッシュしているように見えますが、結果が毎回異なる理由が説明されます。

そこで、PikaBot と CryptBot を試しましたが、もう 1 つ、Quasar RAT を試してみることにします。

私の Windows XP VM に感染してください

もっと簡単だと思ってた

/images/windows-xp-quasar-rat-1.png

Quasar はリモート アクセス ツールですが、これを利用するリモート アクセス トロイの木馬 (RAT) もいくつか存在します。この場合、Quasar には Microsoft の .NET フレームワーク、特に .NET 4.0 以上が必要です。これは、Windows XP でサポートされていた .NET Framework の最後のバージョンですが、プログラムが最新の Windows バージョンにのみ存在する関数を呼び出そうとしないという意味ではありません。ただし、これは間違いなく、多くのエラーの中で最も興味深いエラーでした。

私のデバッガーでは、画面の下部に 80131506 エラー コードが表示されます。これは .NET ExecutionEngineException エラー コードであり、考えられる原因はいくつかあります。その直前に、デバッガーはエラー コード E0434352 の例外を発生させます。これは単なる一般的な例外エラーであり、多くのことはわかりません。

/images/windows-xp-quasar-rat-2.png

最終的には、より多くの情報を含む実際のエラーをスローできるようになりました。上記のエラー clr20r3 は、多くのことを示していますが、まったく何も示していません。これは本質的に、処理されなかった何らかの例外があったことを意味します。これは、予期しないデータが存在したか、ソフトウェアが処理するようにプログラムされていない予期しないイベントがあったことを意味する可能性があります。いずれにしても、Windows XP の根本的な非互換性が存在することを示すさらなる証拠がここで提供されます。

たとえば、最新の Windows マシンでは、この例外がシステムによって処理されるか、環境が期待どおりに動作する場合があります。一方、下位の Windows XP マシンでは予期せぬことが発生し、.NET ランタイムはそれに対処する方法がわからず、プロセスが終了します。ここには、デバッグ検出やサンドボックス回避を示唆するものは何もありません。それは、昔ながらの非互換性によるクラッシュのように見えます。言い換えれば、このマルウェアは XP との互換性が保証されなくなったランタイム上に構築されており、誰もフォールバックを追加しようとはしませんでした。

Windows XP は使用しないでください

魅力的に見えるかもしれませんが、やめてください。

/images/windows-xp-conficker-antivirus-warning.png

3 つの別々のマルウェア サンプルが Windows XP 上で実行されないことを考えると、Windows XP がセキュリティの砦として機能することはわかっています。ただし、その上で実行されるマルウェア サンプルが無数に存在しており、特にその期間のものは顕著です。また、ソフトウェアの互換性がないことを考えると、そもそも Windows XP 上で実行するソフトウェアを探しているときに、Windows XP 上で実行されるマルウェアに遭遇する可能性が高くなります。 Windows 11 用の海賊版ソフトウェアには XP 上で動作するマルウェアが含まれていない可能性がありますが、そもそも Windows 11 用に構築されたソフトウェアを Windows XP 上で海賊版するつもりはありません。

それでも、これは、新しいバージョンの Windows 用に構築されたソフトウェアが古いバージョンではどのように壊れるかを示す興味深い方法です。ソフトウェアの互換性を維持するには多くの作業が費やされますが、その作業が完了しないと…まあ、これが結果です。ソフトウェアは技術的には実行できるかもしれませんが、動作するという保証はありません。ただし、Windows XP は使用しないでください。代わりに Linux か何かに切り替えるかもしれません。

*️⃣ 出典リンク:

Windows XP 、 Windows 11 、おそらく Linux に切り替えます、