ファイルレスマルウェアの攻撃、保護、検出

ファイルレスマルウェア(Fileless Malware)はほとんどの人にとって新しい用語かもしれませんが、セキュリティ業界は何年も前からそれを知っています。昨年、世界中の140以上の企業が、銀行、通信会社、政府機関など、このファイルレスマルウェアに見舞われました。(Fileless Malware –)ファイルレスマルウェア(Fileless Malware)は、その名前が示すように、ディスクに触れたり、プロセスでファイルを使用したりしない一種のマルウェアです。正当なプロセスのコンテキストでロードされます。ただし、一部のセキュリティ会社は、ファイルレス攻撃がマルウェア攻撃を開始するために侵害するホストに小さなバイナリを残すと主張しています。このような攻撃はここ数年で大幅に増加しており、従来のマルウェア攻撃よりもリスクが高くなっています。

ファイルレスマルウェア

ファイルレスマルウェア攻撃

非マルウェア(Fileless Malware)攻撃とも呼ばれるファイルレスマルウェア攻撃(Non-Malware attacks)。彼らは、検出可能なマルウェアファイルを使用せずにシステムに侵入するための典型的な一連の技術を使用しています。過去数年間で、攻撃者はより賢くなり、攻撃を開始するためのさまざまな方法を開発しました。

ファイルレス(Fileless)マルウェアはコンピューターに感染し、ローカルハードドライブにファイルを残さず、従来のセキュリティおよびフォレンジックツールを回避します。

What’s unique about this attack, is the usage of a piece sophisticated malicious software, that managed to reside purely in the memory of a compromised machine, without leaving a trace on the machine’s file system. Fileless malware allows attackers to evade detection from most end-point security solutions which are based on static files analysis (Anti-Viruses). The latest advancement in Fileless malware shows the developers focus shifted from disguising the network operations to avoiding detection during the execution of lateral movement inside the victim’s infrastructure, says Microsoft.

ファイルレスマルウェアはコンピュータシステムのランダムアクセスメモリ(Random Access Memory)に存在し、ウイルス対策プログラムがメモリを直接検査することはありません。したがって、攻撃者がPCに侵入し、すべてのデータを盗むのに最も安全なモードです。最高のウイルス対策プログラムでさえ、メモリ内で実行されているマルウェアを見逃すことがあります。

世界中のコンピュータシステムに感染している最近のファイルレスマルウェア感染には、 (Fileless Malware)KovterUSB ThiefPowerSniffPoweliksPhaseBotDuqu2などがあります。

ファイルレスマルウェアはどのように機能しますか

ファイルレスマルウェアがメモリに侵入すると、 (Memory)PowerShellSC.exenetsh.exeなどのネイティブおよびシステム管理用のWindows組み込みツールを展開して、悪意のあるコードを実行し、管理者がシステムにアクセスできるようにします。コマンドを取り出してデータを盗みます。ファイルレスマルウェアは、(Fileless Malware)ルートキット(Rootkits)(Rootkits)またはWindowsオペレーティングシステムのレジストリ(Registry)に隠れることもあります。

侵入すると、攻撃者はWindowsサムネイル(Windows Thumbnail)キャッシュを使用してマルウェアメカニズムを隠します。ただし、マルウェアがホストPCに侵入するには静的バイナリが必要であり、電子メールが最も一般的な媒体として使用されます。ユーザーが悪意のある添付ファイルをクリックすると、暗号化されたペイロードファイルがWindowsレジストリ(Windows Registry)に書き込まれます。

Fileless Malwareは、 (Fileless Malware)MimikatzMetaspoiltなどのツールを使用して、コードをPCのメモリに挿入し、そこに保存されているデータを読み取ることも知られています。これらのツールは、攻撃者がPCに深く侵入し、すべてのデータを盗むのに役立ちます。

行動分析とファイルレス(Fileless)マルウェア

通常のウイルス対策プログラムのほとんどは署名を使用してマルウェアファイルを識別するため、ファイルレスマルウェアを検出するのは困難です。したがって、セキュリティ会社は行動分析を使用してマルウェアを検出します。この新しいセキュリティソリューションは、ユーザーとコンピューターの以前の攻撃と動作に対処するように設計されています。悪意のあるコンテンツを指す異常な動作は、アラートで通知されます。

エンドポイントソリューションがファイルレスマルウェアを検出できない場合、行動分析は、疑わしいログインアクティビティ、異常な稼働時間、非定型リソースの使用などの異常な動作を検出します。このセキュリティソリューションは、ユーザーが任意のアプリケーションを使用したり、Webサイトを閲覧したり、ゲームをプレイしたり、ソーシャルメディアでやり取りしたりするセッション中にイベントデータをキャプチャします。

Fileless malware will only become smarter and more common. Regular signature-based techniques and tools will have a harder time to discover this complex, stealth-oriented type of malware says Microsoft.

ファイルレスマルウェア(Fileless Malware)から保護および検出する方法

Windowsコンピュータを保護するため(precautions to secure your Windows computer)の基本的な注意事項に従ってください。

  • (Apply)すべての最新のWindowsUpdate(Windows Updates –)、特にオペレーティングシステムへのセキュリティ更新を適用します。
  • (Make)インストールされているすべてのソフトウェアにパッチが適用され、最新バージョンに更新されていることを確認してください
  • コンピュータのメモリを効率的にスキャンし、エクスプロイト(Exploits)をホストしている可能性のある悪意のあるWebページをブロックできる優れたセキュリティ製品を使用してください。動作(Behavior)監視、メモリ(Memory)スキャン、およびブートセクタ(Boot Sector)保護を提供する必要があります。
  • 電子メールの添付ファイルをダウンロードする(downloading any email attachments)前に注意してください。これは、ペイロードのダウンロードを回避するためです。
  • ネットワーク(Network)トラフィックを効果的に制御できる強力なファイアウォールを使用します。(Firewall)

次を読む(Read next)Living Off The Land攻撃(Living Off The Land attacks)とは何ですか?



拓真 山田

About the author

私はユタ大学でコンピュータ エンジニアリングを卒業し、ソフトウェア開発と Windows 開発で 10 年以上の経験があります。PDF や Office ドキュメントを扱った経験があり、iOS や Android プラットフォームを使用してガジェットを作成した経験もあります。


Related posts