We use cookies to ensure that we give you the best experience on our website.

Thunderspy攻撃からWindowsコンピューターを保護するためのヒント

Windows Speedupツールをダウンロードしてエラーを修正し、PCをより速く実行する

落雷Intelが開発したハードウェアブランドインターフェイスです。コンピューターと外部デバイスの間のインターフェイスとして機能します。ほとんどのWindowsコンピューターにはあらゆる種類のポートが付属していますが、多くの企業が使用しています落雷さまざまなタイプのデバイスに接続します。接続は簡単になりますが、アインドホーフェン工科大学の研究によると、Thunderboltの背後にあるセキュリティは、テクニックを使用して侵害される可能性があります。サンダースピー。この投稿では、Thunderspyからコンピューターを保護するために従うことができるヒントを共有します。

Tunderspyとは何ですか?どのように機能しますか?

攻撃者が直接メモリアクセス(DMA)機能にアクセスしてデバイスを侵害できるようにするステルス攻撃。最大の問題は、マルウェアやリンクベイトの心を展開せずに機能するため、トレースが残っていないことです。最適なセキュリティプラクティスをバイパスし、コンピューターをロックできます。それで、それはどのように機能しますか?攻撃者はコンピューターに直接アクセスする必要があります。調査によると、適切なツールで5分未満かかります。

Tips to protect against Thunderspy

攻撃者は、ソースデバイスのThunderboltコントローラーファームウェアを自分のデバイスにコピーします。次に、ファームウェアパッチャー(TCFP)を使用して、Thunderboltファームウェアで実施されたセキュリティモードを無効にします。変更されたバージョンは、バス海賊装置を使用してターゲットコンピューターにコピーされます。その後、Thunderboltベースの攻撃デバイスが攻撃されているデバイスに接続されます。次に、PCIleChツールを使用して、Windowsサインイン画面をバイパスするカーネルモジュールをロードします。

したがって、コンピューターにセキュアなブート、強力なBIOS、オペレーティングシステムアカウントのパスワードなどのセキュリティ機能があり、完全なディスク暗号化が有効になっている場合でも、すべてをバイパスします。

ヒント:SpycheckはそうしますPCがThunderspy攻撃に対して脆弱かどうかを確認してください

マイクロソフトお勧めします現代の脅威から保護する3つの方法。ウィンドウに組み込まれているこれらの機能のいくつかはレバレッジできますが、一部は攻撃を軽減するために有効にする必要があります。

  • 安全なコアPC保護
  • カーネルDMA保護
  • ハイパーバイザー保護コードの整合性(HVCI)

とはいえ、これはすべて安全なコアPCで可能です。ハードウェアが攻撃から保護できるハードウェアが利用できないため、これを通常のPCに適用することはできません。 WindowsセキュリティアプリのDevicセキュリティセクションをチェックすることにより、PCがサポートするかどうかを確認する最良の方法です。

1]安全なコアPC保護

Windows Defender System Guard

Microsoftの社内セキュリティソフトウェア、Windows Securityが提供していますWindows Defender System Guardおよび仮想化ベースのセキュリティ。ただし、セキュリティ済みのコアPCを使用するデバイスが必要です。最新のCPUのルート化されたハードウェアセキュリティを使用して、システムを信頼できる状態に起動します。ファームウェアレベルでのマルウェアによる試みを軽減するのに役立ちます。

2]カーネルDMA保護

Windows 10 V1803で導入されたKernel DMA Protectionは、ThunderboltなどのPCIホットプラグデバイスを使用して、直接メモリアクセス(DMA)攻撃から外部周辺機器をブロックすることを確認します。つまり、誰かが悪意のあるThunderboltファームウェアをマシンにコピーしようとすると、Thunderboltポートを越えてブロックされることを意味します。ただし、ユーザーがユーザー名とパスワードを持っている場合、彼はそれをバイパスすることができます。

3]ハイパーバイザー保護コードの整合性(HVCI)による保護の硬化

Turn off Memory Integrity Core Isolation Windows Security

ハイパーバイザー保護コードの整合性またはHVCIWindows 10で有効にする必要があります。コード整合性サブシステムを分離し、そこにあるカーネルコードがMicrosoftによって検証および署名されていないことを確認しました。また、Unverified Codeが実行されないことを確認するために、カーネルコードが書くことができると実行可能ではないことを保証します。

Thunderspyは、PCILEECHツールを使用して、Windowsサインイン画面をバイパスするカーネルモジュールをロードします。 HVCIを使用すると、コードの実行が許可されないため、これを防ぐことができます。

コンピューターの購入に関しては、セキュリティは常に最上位にある必要があります。特にビジネスで重要なデータを扱う場合は、セキュリティ済みのコアPCデバイスを購入することをお勧めします。これが公式ページですそのようなデバイスMicrosoftのWebサイトで。

Also Read