‹ Cybersecurity 101に戻る

ファイルレスマルウェアとは

Kurt Baker - 9月 19, 2023

ファイルレスマルウェアとは

ファイルレスマルウェアは、システムに組み込まれたネイティブの正当なツールを使用してサイバー攻撃を実行する悪意のあるアクティビティの一種です。従来のマルウェアとは異なり、ファイルレスマルウェアは攻撃者がターゲットのシステムにコードをインストールする必要がないため、検出が困難です。

ネイティブツールを使用して悪意のある攻撃を行うという、このファイルレス手法は、自給自足型攻撃またはLOLbinsと呼ばれることもあります

ファイルレスマルウェアの一般的な手法

攻撃者は、ファイルレスマルウェア攻撃を開始するためにコードをインストールする必要はありませんが、目的に合わせてネイティブツールを変更できるようにするため、環境へのアクセスは必要です。アクセスと攻撃は、次のような要素を使用して複数の方法で実行できます。

  • エクスプロイトキット
  • ハイジャックしたネイティブツール
  • レジストリに常駐するマルウェア
  • メモリオンリーマルウェア
  • ファイルレスのランサムウェア
  • 盗んだ認証情報

エクスプロイトキット

エクスプロイトは、コードの断片、コマンドのシーケンスまたはデータのコレクションであり、エクスプロイトキットはエクスプロイトのコレクションです。攻撃者はこれらのツールを使用して、オペレーティングシステムやインストール済みアプリケーションに存在する既知の脆弱性を利用します。

エクスプロイトは、メモリに直接注入でき、ディスクには何も書き込む必要がないため、ファイルレスマルウェア攻撃を効率良く開始できる方法です。攻撃者はこれを使用して、大規模な初期侵害を自動化できます。

ファイルレスの攻撃でも従来のマルウェアを使用する攻撃でも、エクスプロイトは同じように開始されます。通常、被害者はフィッシングEメールやソーシャルエンジニアリングを通じて誘導されます。エクスプロイトキットに含まれる内容は、多くの場合、多数の脆弱性のエクスプロイトと、攻撃者がシステムを制御するために使用できる管理コンソールです。エクスプロイトキットの中には、標的システムの脆弱性をスキャンし、エクスプロイトのカスタマイズ版をその場で作成して起動する機能を備えたものもあります。

レジストリに常駐するマルウェア

レジストリに常駐するマルウェアは、Windowsレジストリに自分自身をインストールし、検出を回避しながら常駐を続けるマルウェアです。
一般的に、Windowsシステムは、悪意のあるファイルをダウンロードするドロッパープログラムを使用することで感染します。この悪意のあるファイルは標的のシステム上でアクティブな状態を維持するため、アンチウイルスソフトウェアによる検出に対しては脆弱です。ファイルレスマルウェアもドロッパープログラムを使用することがありますが、悪意のあるファイルをダウンロードすることはありません。その代わり、ドロッパープログラム自体が悪意のあるコードをWindowsレジストリに自分自身を直接書き込みます。

悪意のあるコードは、OSを起動するたびに起動するようにプログラムすることができ、検出対象となるような悪意のあるファイルは存在しません。悪意のあるコードは、AV検出の対象にならないネイティブファイルに隠されています。

このタイプの攻撃で最も古いものはPoweliksですが、それ以来KovterやGootKitなど多数が登場しています。レジストリキーを変更するマルウェアは、長期間検出されずに常駐し続けることが多くあります。

メモリオンリーマルウェア

メモリオンリーマルウェアはメモリ内にのみ存在します。メモリオンリーマルウェアには、たとえばDuquワームがあります。これはメモリ内にのみ存在するため、検出されずにいる可能性があります。Duqu 2.0には2種類のバージョンがあります。1つ目は、攻撃者が組織に足掛かりを得られるようにするバックドアです。その後、攻撃者はDuqu 2.0の高度なバージョンを使用できるようになります。このバージョンには、偵察、ラテラルムーブメント、データ流出などの機能が追加されています。Duqu 2.0は、通信業界の企業と著名なセキュリティソフトウェアプロバイダーの少なくとも1社に対する侵害に使用されています。

ファイルレスのランサムウェア

攻撃者は、攻撃方法を1種類に限定しているわけではありません。利益を得るために役立つものは、どのようなテクノロジーでも使用します。現在、ランサムウェア攻撃者はファイルレスの手法を使用し、マクロなどのネイティブスクリプト言語で悪意のあるコードをドキュメントに埋め込んだり、エクスプロイトを使用して悪意のあるコードをメモリに直接書き込んだりしています。その後、ランサムウェアはPowerShellなどのネイティブツールをハイジャックし、ディスクに1行も書き込むことなく人質ファイルを暗号化します。

盗んだ認証情報

攻撃者は、盗んだ認証情報を使用してファイルレス攻撃を開始し、正当なユーザーを装って標的にアクセスできるようにする可能性があります。いったん内部に入ると、攻撃者はWindows Management Instrumentation(WMI)やPowerShellなどのネイティブツールを使用して攻撃できるようになります。レジストリやカーネル内にコードを隠したり、選択した任意のシステムへのアクセスを許可するユーザーアカウントを作成したりして、永続性を確保します。

攻撃者がファイルレス攻撃を使用してセキュリティを回避する方法

このホワイトペーパーをダウンロードして、初期侵害、コマンドアンドコントロールの獲得、権限の昇格、永続性の維持などの、ファイルレス侵入の詳細な構造分析をご確認ください。

今すぐダウンロード

ファイルレス攻撃のステージ

ファイルレス攻撃がどのように動作するかというデモンストレーションとして、現実のファイルレス侵入を図解するインフォグラフィックを以下に示します。これはCrowdStrike Servicesインシデント対応(IR)チームが公開したものです。

ステージ#1:アクセス権の取得

テクニック:脆弱性をリモートで悪用し、Webスクリプト(China Chopperなど)を使用してリモートアクセス権を得る

攻撃者は被害者のシステムへのリモートアクセス権を取得し、攻撃の足がかりを確立します。

ステージ#2:認証情報の窃盗

テクニック:脆弱性をリモートで悪用し、Webスクリプト(Mimikatzなど)を使用してリモートアクセス権を得る

前段階で取得したアクセス権を使用して、攻撃者は侵害した環境での認証情報を獲得しようとします。これにより、その環境内の他のシステムへ簡単に移動できるようになります。

ステージ#3: 永続性の維持

テクニック:レジストリを変更してバックドアを作成する(Sticky Keys Bypassなど)

これで攻撃者はバックドアを設定し、攻撃の最初の手順を繰り返さなくても、自由にこの環境に戻れるようになります。

ステージ#4:データの引き出し

テクニック:ファイルシステムと組み込みの圧縮ユーティリティを使用してデータを収集し、FTPからデータをアップロードする

最終ステップで、攻撃者は必要なデータを収集して流出させる準備をします。データをコピーして1箇所にまとめ、Compactなど、すぐに利用できるシステムツールを使用して圧縮します。次に、攻撃者はFTP経由でデータをアップロードすることで、被害者の環境からそのデータを削除します。

ファイルレスマルウェアの検出方法

従来型AV、ホワイトリスト、サンドボックス、さらに機械学習手法ですら、ファイルレス攻撃から保護することができないなら、他に何があるでしょうか。組織は自己防衛のため、複数の手法を組み合わせた統合的アプローチを使用できます。

侵害の痕跡に限定せず攻撃の痕跡を重視する

攻撃の痕跡(IOA)とは、ファイルレス攻撃に対して先回りするアプローチ方法です。IOAは、攻撃がどのように行われるかではなく、攻撃が進行中である可能性を示す兆候を探します。

IOAにはコード実行、ラテラルムーブメント、アクション(本来の意図を隠しているように見えるもの)などの兆候が含まれます。

IOAは、ステップがどのように起動または実行されるかという点には注目しません。アクションの開始がハードドライブ上のファイルからであるか、ファイルレス手法からであるかは関係ありません。重要なことは、実行されたアクション、それが他のアクションとどのように関連しているか、シーケンス内のアクションの位置、およびその依存アクションのみです。これらのインジケーターにより、動作の背後にある本来の意図と目標、その周囲のイベントが明らかになります。

ファイルレス攻撃はPowerShellのような正当なスクリプト言語を悪用し、ディスク自体に書き込まれないため、シグネチャベースの手法、ホワイトリスト、サンドボックス化では検出されません。機械学習の手法でも、ファイルレスマルウェアの分析はできません。しかし、IOAは連続したイベントを探します。ファイルレスマルウェアであっても、目標を達成するためにはこれらを実行しなければなりません。

また、IOAは意図とコンテキストと順序を精査するため、正当なアカウントを使用して悪意のあるアクティビティを実行する場合も、それを検出してブロックできます。多くの場合、これは攻撃者が認証情報を盗んで使用する場合に行われます。

マネージド脅威ハンティングの採用

ファイルレスマルウェアの脅威ハンティングは、大量のデータを収集して正規化する必要があり、時間と手間のかかる作業です。しかし、これはファイルレス攻撃に対する防御として必要な部分です。そのため、大多数の組織では、脅威ハンティングを専門のプロバイダに任せることが最も現実的なアプローチとなっています。

マネージド脅威ハンティングサービスは、24時間の監視体制で先を見越して侵入を探し、環境をモニタリングし、標準的なセキュリティ技術では見逃されるほどの目立たないアクティビティを感知します。

クラウドストライクが組織内のファイルレス攻撃を防ぐ方法

これまで見てきたように、シグネチャベースの手法、サンドボックス化、ホワイトリスト、また機械学習による保護方法に依存している場合、検出は非常に困難です。

検出の難しいファイルレス攻撃を予防するために、クラウドストライクでは、複数の方法を独自に組み合わせた強力な統合アプローチを提供し、比類のないエンドポイント保護を行っています。CrowdStrike Falcon®プラットフォームは、単一の軽量エージェントを介してクラウドネイティブな次世代エンドポイント保護を行い、一連の補完的な予防および検出方法を提供します。

  • アプリケーションインベントリは、環境内で実行されているすべてのアプリケーションを検出し、脆弱性を見つけるために役立ちます。これによりパッチの適用と更新を行い、エクスプロイトキットの標的にならないようにすることができます。
  • エクスプロイトブロックは、パッチ未適用の脆弱性を悪用するエクスプロイトを使用して実行されるファイルレス攻撃を阻止します。
  • 攻撃の痕跡(IOA)は、攻撃の早い段階、つまり完全に実行されて損害が生じる前に、悪意のあるアクティビティを特定してブロックします。この機能は、被害システムの暗号化にファイルを使用しないような新しいカテゴリのランサムウェアからも保護します。
  • スクリプトコントロールは、ファイルレスのスクリプトに基づく攻撃に対する可視化と保護を拡大します。
  • 高度なメモリスキャンは、ファイルレスでマルウェアフリーの攻撃から保護します。このような攻撃には、APT、ランサムウェア、メモリ内のCobalt Strikeのようなデュアルユースツールなどがあります。
  • マネージド脅威ハンティングは、ファイルレス手法の結果として生成される悪意のあるアクティビティを、プロアクティブに探します。

GET TO KNOW THE AUTHOR

カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。