Categories: セキュリティ

不可視性の追求:ファイルレス マルウェア

この記事は、サイバーセキュリティ プロフェッショナルである Marc Blackmer によるブログ「In Pursuit of Invisibility: Fileless Malware(2018/9/13)の抄訳です。

 

先日、あるニュース記事で、飛べるようになりたいかそれとも目に見えないようになりたいかというアンケートが話題になりました。確かに、ばかげた質問*ですが、回答者がなぜその答えを選んだのかということには興味を感じました。大多数は飛べるようになることを選びました。非常に興味深かったのは、調査の作成者が、ほとんどの人は目に見えないようになることを選ぶだろうと考えていたことでした。しかし、回答者は、目に見えないこと(不可視性)を非倫理的行為や犯罪行為と関連付けたため、飛べるようになることのほうを選んでいたのでした。

当然ながら、その関連付けはセキュリティについて考えるきっかけになりました。不可視性は、サイバー犯罪者が目指していることであり、ファイルレス マルウェアの開発はその実現に一役買っています。

ファイルレス マルウェアとは、一種のメモリ常駐型マルウェアです。その語が示すように、ディスク上のファイルからではなく、被害者のシステムのメモリから作動するマルウェアです。したがって、スキャン対象のファイルが存在しないことになり、検出が困難です。被害者のコンピュータが再起動されるときにマルウェアは表示されないため、調査は一層困難になります。

ファイルレス マルウェアは、他の種類のマルウェアと同様に、フィッシングや悪意のある Web サイトなどを介してネットワークに侵入する可能性があります。違いは、インストールされた実行ファイルがないこと、または感染の時点で実行することです。それがファイルレスと言われる理由です。マルウェアはシステム メモリ内で実行され、Windows PowerShell や Windows Management Instrumentation (WMI) などの管理ユーティリティを操作して目的を実行します。多くのセキュリティ テクノロジーはこれらのユーティリティを確実に信頼しているため、マルウェアは気付かれることがなく、そのアクティビティは無害に見えます。

Cisco Talos 脅威インテリジェンス チームは、DNSMessenger と呼ばれるファイルレス マルウェアの独創的な例について、2017 年後半にブログで発表しました。(DNSMessenger に関するブログ全体はこちらで読むことができます。)攻撃者は感染した Word 文書を電子メールで被害者に送信し、ユーザに文書内のマクロを有効にさせます。マクロが有効にされると、WMI 経由で特定のインターネット ドメインに到達するための Windows PowerShell スクリプトを起動します。マルウェアはそれらのドメインに関連付けられた DNS TXT ファイルから詳細な指示を受信します。

インストールされたファイルがないうえに、悪意のある指示は被害者のネットワークの外部にある DNS レコードに巧妙に配置されるため、従来のファイル中心型のマルウェア検出テクノロジーではこの脅威が検出されません。ファイル ベースの観点ではすべてのことが正常に見えますが、脅威を検出するために DNS トラフィックを念入りに監視します。

ファイルレス マルウェアの作成者によって使用されるもう 1 つのテクノロジーは、エンコードされたコマンドを 1 つまたは複数の特定の Windows レジストリ キーに組み込むことです。レジストリは、どちらかと言えばセキュリティ製品がマルウェアを確認する対象ではありません。信頼性があると認識されています。そのため、PowerShell スクリプトがレジストリ キーを読み取る場合、そのアクティビティは異常に見えません。通常はレジストリ キーがエンコードされていないことを、異常とみなします。そのため、ファイル ベースのマルウェア検出ではこうした脅威が見逃されます。しかし、難読化されたレジストリ キーを探すエンドポイント保護が必要です。

これらは、攻撃者が信頼できるプロセスをどの程度悪用してきたのか、および隔離されたセキュリティ テクノロジー間のギャップをどの程度利用してきたのかを示す数例に過ぎません。

攻撃者は 1 つの攻撃ベクトルを試し、それが有効でなければあきらめるわけではありません。彼らはネットワーク内の足場を固めるために、すべてのドア ノブを動かし、すべての窓を調べ、ドアの下に収まるものを見つけます。そして、保護のギャップがその実行を手助けします。したがって論理的には、1 つのセキュリティ テクノロジーが、これらの攻撃のあらゆるバリエーションを防御することはありません。フィッシング攻撃をブロックする必要があります。悪意のある添付ファイルを電子メールから除去する必要があります。不正なドメインへのトラフィックを停止する必要があります。データセンターからエンドポイントへの内部および外部の異常について、ネットワーク トラフィックを監視する必要があります。そして、1 つの攻撃ベクトルを通して脅威が検出された場合、そのインテリジェンスは防御テクノロジー全体にわたり、できれば自動化された手段によって共有される必要があります。

シスコでは、それ以上のことも行っています。まず、DNS 要求の異常なコンテンツや悪意のあるコマンドを難読化するために使用された可能性がある異常な Windows レジストリ キーのコンテンツを検出するなど、ファイルレス マルウェアに関するセキュリティ侵害の兆候を開発しました。

次に、数千億件の電子メール、1,000 億回以上の DNS 要求からテレメトリを収集し、毎日 200 万件近くのマルウェア サンプルを分析しました。何千ものハニーポット、リバース エンジニアリング マルウェア、脆弱性研究によって調査を行っています。シスコの調査はネットワーク、エンドポイント、ウェブ、クラウド、電子メール、ファイルを網羅しているため、対象とする範囲は幅広く、より多くのことを検出できます。シスコのすべての調査結果は、最終的にお客様を保護するセキュリティ製品ポートフォリオ全体を構成します。

ファイルレス マルウェアの詳細を知りたい場合は、上記のリンク先の Talos ブログ記事と、こちらのフォローアップ記事をお読みください。どちらの記事にも、ファイルレス マルウェアの脅威を軽減する方法の最後にリストが含まれています。こちらから、最新のセキュリティソリューションを知ることもできます。

* 私だったら飛べるようになることを選びます。本当です。

 

この記事が気に入りましたか。Threat of the month ブログ シリーズに登録して、新しい脅威が特定されたときに警告を受け取ってください。

坂本 祐一

2008 年シスコシステムズ入社。大手企業を担当するエンジニアとして、金融からクラウド関連企業まで幅広く担当。ルータ&スイッチ・サーバー・セキュリティ・サービス プロバイダー関連など幅広く製品や技術を扱う。

その後セキュリティ事業部に所属。サイバーセキュリティに関連する事案や製品など調査・検証・提案する立場として活動。