NERV Security Blog

ファイルレス マルウェア:内部に存在する脅威の実情

  • 2018年09月13日

従来の私たちの知っているマルウェア攻撃(悪意ある攻撃)は、さまざまな方法で悪意ある動作・機会を動作させるために実行可能ファイルを必要するか、または、ディスクに書き込まれる形のファイルです。一方、ファイルレスマルウェアは、メモリに常駐し、実行後、痕跡を残しません。悪意あるペイロードは、RAM内に存在しているので、ディスクに直接書き込まれる事はありません。

この攻撃内での攻撃者の最大の目的は、感染後のフォレンジックを難解にすることです。さらに、この攻撃形式は、ウイルス対策によるシグネチャ検知の開始をほぼ不可能とします。SamSam(ランサムウェア名)のケースと同様、分析するためにはサンプルを回収することが、実際に発生している攻撃を把握・理解する唯一の方法です。これがファイルレスマルウェアの最大の課題の1つです。

ファイルレスマルウェア

このブログ内では、すべてのファイルレスマルウェアの技術的詳細とそれに関する攻撃方法について説明します。問題に関しての詳細な概要と、ファイルレスマルウェアの一般的な特徴、ファイルレス方式を使用したさまざまなサンプルに対しての詳細な技術的解析に関しての情報を取り上げます。最後に、理論上のファイルレス攻撃とその条件に関して説明します。

ファイルレスの進化

ファイルレス攻撃は、15年以上前にメモリに常駐するマルウェアを検知・確認されているので、必ずしも新しいものではありません。例としては、Lehign Virusです。スタックスペース内のホストファイルのコードの未使用部分を埋めるが、ホストサイズの増加はされません。メモリ内にウイルスが存在し、DOSディスクを挿入した場合、他のCOMMAND.COMファイルに影響します。

しかし、時間の経過と共に、かつて攻撃に使用されていた技法とツールは、より進化しました。事実、ファイルレスマルウェアの進化はセキュリティエキスパート間で多くの注意・関心を惹きました。

長年にわたる進化は興味深いものでした。

●Lehighにて記載した通り、感染ウイルスは悪意あるコードを含み、そしてメモリ内でペイロードを実行します。

●時間が経つにつれて、Poweliksのようなマルウェアはレジストリ内の “NULL” Runkey(コンテンツを見えなくする)を使ってJavaScriptを実行し、PowerShellを使ってレジストリ内の他の場所に隠されたエンコードされたスクリプトを実行します。基本的に、ペイロードはレジストリに格納され、検索され、復号され、そして実行されている時のみ実行されます。

●MagnitudeEKなどの現在のエクスプロイットは、ペイロードをストリーミングして、最初にディスクに保存せず実行させることができます。

●DNSMessengerのようなマルウェアはC2サーバより悪意あるパワーシェルスクリプトを取得します。

●SamSamは暗号化されたマルウェアのペイロードをディスクに書き込みます。攻撃者が復号化のためのパスワードを入力し、スクリプトが手動で実行された場合のみ、復号化されます。

ファイルレスマルウェアの問題

SOCチームまたは、社内のセキュリティ担当者が企業のネットワークを監視し、脅威に関して疑わしい動作のアラートを確認した時、ファイルベースマルウェアによる従来のマルウェアであれば、比較的簡単に対応することができます。なぜなら、どのようなダメージを受けたかをトラックすることが安易だからです。

ネットワーク内のファイルベースマルウェアの痕跡は、SOCチームは確認を開始するポイントを明確します。これからの痕跡・ファイルにより、技術者はマルウェアの発端をトレイスすることができ、ネットワークを破った方法に関しての詳細な情報を得ることができます。悪意あるダウンロードやウェブサイトと関連つけられたメール経由であっても、ファイルの履歴を持つことで、業務を簡易することができます。バイナリーを持つことで、SOCチームがコードの解析することができ、何が起きているのか、どのシステムとデータが対象になっているのかを正確に確認することができます。

ファイルレスのマルウェアと、直接リモートマシンへアクセスした場合にハッカーが実行する攻撃を比較した場合、ファイルレスマルウェアは、多くの点で手動によるハッカーのアプローチと同じですが、遠隔の犠牲者の周囲をクロール(ファイルまたはウェブサイトにアクセスする)する代わりに、ファイルレスマルウェアを自動的に実行することができます。多くの場合、手動ハッカーで使用するのと同じツールがファイルレスマルウェアによって使用されています。

例えば、PowerShellスクリプトを使用した攻撃では、組み込みのWindowsツールを使用して悪意のある活動を実行します。PowerShellのようなツールは、ホワイトリストへ登録されているため(悪意ある動作ではなく、毎日動作・使用されているため)、手動での攻撃者とファイルレスのマルウェアの両方が攻撃を実行するために無料の削除ツールを所持しています。これにより、SOCチームは悪意ある行為を追跡することが困難となります。履歴を追跡するファイルは存在しません。セキュリティ技術者は、結論を出すために、他の結果とログインイベントを確認する必要があります。ファイルレスや、手動での攻撃であっても、セキュリティ技術者は同様の問題を抱えています。

マイグレーション-緩和-

現在では、この問題へ対応する方法はありますが、この種類の攻撃の対応と防止は進行中の過程で、まだ完全な解決はしておりません。PowerShellの通常の使用と、悪意ある使用は、分かりにくいことがあります。トレーニングを受けていない人は、悪意ある動作として認識することができない事があるかもしれません。

あるいは、逆に、通常の動作を悪意ある疑わしいと思うかもしれません。セキュリティ専門家であっても、これらの2つの条件の間の識別が難しいという事実は、現代の技術でこの問題を解決することが非常に難しい理由です。このタイプの攻撃は、正確な解決方法が存在していません。現在も、解決方法に関しては、研究が進められています。

前にも触れていますが、これからの攻撃の中には、組み込みのWindowsツールを活用するという点で、“Living off the land”というシナリオがあります。この攻撃を防ぐ1つの方法は、脅威がシステムに到達する前に、その脅威を特定することです。

もう少し詳細を説明すると、ファイルレス/ブラウザーの脆弱性の例では、まず、攻撃を前に、ブロックを試みることが重要です。ですので、Malwarebytesは脆弱性の緩和機能を開発しました。メモリの監視と実行の連鎖の検証は、これからの攻撃をブロックできる一般的な重要な一歩です。Malwarebytesの脆弱性緩和機能は、これからの攻撃に対して、実績があり、有効であることが証明されています。仮に、コードがシステムに感染した可能性がある場合でも、優れたエンドポイント保護ソリューションにて異常な動作を特定し、隠れたコードを追跡し、システムから削除することができます。

ご説明した通り、対応に関しては現在も研究されています。なぜなら、SOCチームの責任は、これからの脅威が損害を与えないことを確認することが大半だからです。パッチを適用し、ログインとアクセス制御を有効にすることは、必要な処置です。これかの作業・対応は、防衛の最初と最後のラインとして相違点を作ることができ、不正アクセスが発生した場合に対応開始時間を短出するのにも役に立ちます。

ファイルレスとセミファイルレスタイプ

このブログの残りの部分では、ファイルレスのマルウェアの種類と過去5年間の攻撃について説明します。 このグループの中で使用されている技術は、最も一般的であり、将来のファイルレスマルウェア攻撃に対処する際に、より良い準備と有用な知識を提供します。

さらに、純粋なファイルレスマルウェアだけでなく、セミファイルレス攻撃も説明していきます。たとえば、Kovterは非ASCII文字を使用して、難読化されたJavaScriptを保持する読み取り不可能なレジストリキーを作成します。この場合、悪意のあるスクリプトは技術的にはレジストリキーとしてディスクに存在しますが、(従来の意味では)ディスク上のファイルではありません。

SamSamは、攻撃に関係するファイルを入手した後でも、ペイロードを分析するのに十分な情報がないという点で、半ファイルレスであると考えられる別種類のマルウェアです。ローダーや暗号化されたペイロードなどのディスク上にはファイルがいつかありますが、全体のイベントに関連する事項を開始したスクリプトを受信しない限り、ペイロードにはアクセスできません。

 

取扱製品

Safend Data Protection Suite
Safend Protector
ポート・デバイスの制御を実施し、記憶媒体の暗号化も実施します。 詳しくはこちら
Safend Encryptor
内蔵HDDを暗号化し、盗難・紛失からの情報漏えいを防止します。 詳しくはこちら
Safend Inspector
社内の機密情報をプリンター、メール、FTPなどの経路から流出しないよう制限をかけ、情報流出を防ぎます。 詳しくはこちら
その他
セキュリティポリシーを検討を補佐するオプションもご用意しています。
Safend Auditor-デバイスの監査
Safend Repoter-ログの可視化
Safend Discover-クライアント内のデータ監査
詳しくはこちら
Malwarebytes
Endpoint Security
高度なマルウェアの発見と修正、悪意のあるウェブサイトへブロック 詳しくはこちら
Endpoint Protection
業界最高レベルの情報収集技術を持った次世代マルウェア対策ソフトウェア 詳しくはこちら