仕組み
ほとんどのアプリケーションとファイルベースのマルウェアは、ディスクに書き込まれるファイルとして始まります。 そのファイルが実行されると、コピーがメモリにロードされ、プログラムのコマンドが実行されます。 ファイルレスマルウェアは、ディスクに書き込まれるステップをスキップし、メモリ内にのみ存在します。
これを実現する方法には、次のようなものがあります。
- Living Off the Land: マルウェアが実行するアクションの多くは、正規のシステム機能で実行できます。 ファイルレスマルウェアは、通常、悪意のある実行可能ファイルで使用される組み込みのWindows API関数にアクセスするためにPowerShellを使用します。
- 悪意のあるドキュメント: Microsoft Office ドキュメントには、PowerShell を使用してコマンドを実行する悪意のあるマクロが含まれている可能性があります。 これには、追加のマルウェアをディスクに書き込まずにダウンロードして実行することが含まれる可能性があります。
- 脆弱性の悪用: アプリケーションには、バッファオーバーフローやその他の リモートコード実行 (RCE)の脆弱性が含まれている可能性があります。 この脆弱性を悪用することにより、攻撃者はディスクに何も書き込まずに、脆弱なプロセス内で悪意のあるコマンドを実行できます。
- プロセスハイジャック: ファイルがメモリにロードされると、そのメモリ空間を変更できます。 マルウェアは、既存のプロセスのメモリ空間にコードを書き込み、そのプロセス内で悪意のある機能を起動する可能性があります。
- レジストリベースのマルウェア: Windows レジストリには、自動実行を含む Windows OS の構成情報が含まれています。 ファイルレスマルウェアは、システムの起動時またはユーザーのログイン時にLoLBinsを介して悪意のあるコードを起動する自動実行を定義できます。
ファイルレスマルウェアで何ができるのか?
ファイルレスマルウェアは、従来のファイルベースのマルウェアの亜種ができることなら何でもできます。 これには、インフォスティーラー、 ランサムウェア、リモートアクセスツールキット(RAT)、クリプトマイナーとしての機能が含まれます。
ファイルレスマルウェアとファイルベースのマルウェアの主な違いは、悪意のあるコードの実装方法です。 ファイルレスマルウェアは、通常、スタンドアロンの実行可能ファイルに悪意のある機能を実装するのではなく、オペレーティングシステムの組み込み機能に依存しています。
ファイルレス攻撃の段階
ファイルレスマルウェア攻撃は、ファイルベースのマルウェア攻撃と非常によく似ています。 主な段階には、次のようなものがあります。
- 初期アクセス: マルウェアには、組織のシステムにアクセスする手段が必要です。 ファイルレスマルウェアは、フィッシングを介して悪意のあるドキュメントを配信したり、脆弱なWebアプリケーションを悪用したりする可能性があります。
- 実行: ファイルレスマルウェアは、さまざまな手段でコードを実行できます。 たとえば、悪意のあるドキュメントは、ソーシャル エンジニアリングを使用して受信者を騙してマクロを有効にさせ、悪意のあるマクロが PowerShell コマンドを実行できるようにする可能性があります。
- 固執: マルウェアは、標的のシステムにアクセスすると、そのアクセスを維持しようとします。 Windows レジストリへの自動実行キーの追加は、永続化を実現するための一般的な手段であり、コードをディスクに書き込まなくても実行できます。
- 目標: マルウェアは、何らかのタスクを実行するように設計されています。 ファイルレスマルウェアは、認証情報の窃取、ファイルの暗号化、追加のマルウェアのダウンロード、またはその他の悪意のあるアクティビティの実行を試みる可能性があります。
ファイルレスマルウェア攻撃の検出と保護
ファイルレスマルウェアは、従来のファイルベースのマルウェアの亜種よりも検出が困難になるように設計されています。 これは、一部のエンドポイント セキュリティ ソリューションでは、システム上のファイルのスキャンに重点が置かれており、アクティブに実行されているプロセスに悪意のあるコードや異常なアクティビティがないか検査されないためです。
ただし、検出が難しいことと検出できないことは同じではありません。 組織がファイルレスマルウェア攻撃から身を守る方法には、次のようなものがあります。
- ロックダウン機能: ファイルレスマルウェアは、多くの場合、組み込みの機能を使用して目的を達成します。 PowerShellなどのリスクの高いアプリケーションを無効化または監視すると、ファイルレスマルウェア攻撃の防止と検出に役立ちます。
- マクロの管理: Microsoft Officeマクロは、ファイルレスマルウェアが初期アクセスと実行を実現するための一般的な方法です。 マクロを無効にすると、この感染経路をブロックするのに役立ちます。
- Patch 脆弱性: 攻撃者は、バッファオーバーフローなどの脆弱性を悪用して、脆弱なアプリケーション内でコードを実行する可能性があります。 パッチを適用し、 侵入防止システム (IPS) を使用して仮想パッチを適用することで、脆弱性の悪用のリスクを制限できます。
- セキュア認証: サイバー犯罪者は、侵害された認証情報やRDPなどのリモートアクセスソリューションを使用して、マルウェアを展開および実行することが増えています。 多要素認証(MFA)と ゼロトラストセキュリティ ポリシーを実装することで、侵害されたアカウントの潜在的な影響を制限できます。
チェック・ポイントのHarmony SuiteとXDRプラットフォーム
ファイルレスマルウェアは、組織が直面するいくつかの脅威の1つです。 現在のサイバー脅威の状況の詳細については、チェック・ポイントの 2022年中期サイバー攻撃トレンドレポートをご覧ください。
Implementing defense in depth is essential to managing the risk of sophisticated malware and other leading cyber threats. Check Point Infinity XDR provides centralized visibility and threat management across an organization’s IT infrastructure, while Harmony Endpoint secures the endpoint.
Find out how Check Point can help improve your organization’s malware defenses. Sign in for a free demo of Harmony Endpoint today.
Feedback