ファイルレスマルウェアとは
ファイルレスマルウェアは、システムに組み込まれたネイティブの正当なツールを使用してサイバー攻撃を実行する悪意のあるアクティビティの一種です。従来のマルウェアでは、通常、ファイルをダウンロードしてインストールする必要があるのに対し、ファイルレスマルウェアはメモリ内で動作したり、ネイティブツールを操作したりするため、検知して削除することが困難になります。正当なツールの悪用は、自給自足 (LOTL) とよく呼ばれます。
ファイルレスマルウェアの一般的な手法
攻撃者は、ファイルレスマルウェア攻撃を開始するためにコードをインストールする必要はありませんが、目的に合わせてネイティブツールを変更できるようにするため、環境へのアクセスは必要です。攻撃者は、次のものを使用してアクセス権を取得できます。
- エクスプロイトキット
- レジストリーに常駐するマルウェア
- メモリオンリーマルウェア
- ファイルレスのランサムウェア
エクスプロイトキット
エクスプロイトは、コードの断片、コマンドのシーケンスまたはデータのコレクションであり、エクスプロイトキットはエクスプロイトのコレクションです。攻撃者はこれらのツールを使用して、オペレーティングシステムやインストール済みアプリケーションに存在する既知の脆弱性を利用します。
エクスプロイトは、メモリに直接注入でき、ディスクには何も書き込む必要がないため、ファイルレスマルウェア攻撃を効率良く開始できる方法です。攻撃者はこれを使用して、大規模な初期侵害を自動化できます。
エクスプロイトキットに含まれる内容は、多くの場合、多数の脆弱性のエクスプロイトと、攻撃者がシステムを制御するために使用できる管理コンソールです。エクスプロイトキットの中には、標的システムの脆弱性をスキャンし、エクスプロイトのカスタマイズ版をその場で作成して起動する機能を備えたものもあります。
レジストリーに常駐するマルウェア
レジストリーに常駐するマルウェアは、Windowsレジストリーに自分自身をインストールし、検知を回避しながら常駐を続けるマルウェアです。従来のマルウェア攻撃では、Windowsシステムは、悪意のあるファイルをダウンロードするドロッパープログラムを使用することで感染します。この悪意のあるファイルは標的のシステム上でアクティブな状態を維持するため、アンチウイルス (AV) ソフトウェアによる検知に対しては脆弱です。ファイルレスマルウェアもドロッパープログラムを使用することがありますが、悪意のあるファイルをダウンロードすることはありません。その代わり、ドロッパープログラム自体が悪意のあるコードをWindowsレジストリーに直接書き込みます。
悪意のあるコードは、OSを起動するたびに起動するようにプログラムすることができ、検出すべき悪意のあるファイルは存在しません。悪意のあるコードは、アンチウイルス検知の対象にならないネイティブファイルに隠されています。
このタイプの攻撃で最も古い亜種はPoweliksですが、それ以来KovterやGootKitなど多数の亜種が登場しています。レジストリーキーを変更するマルウェアは、長期間検知されずに常駐し続けることが多くあります。
メモリオンリーマルウェア
メモリオンリーマルウェアはメモリ内にのみ存在します。メモリオンリーマルウェアには、例えばDuquワームがあります。これはメモリ内にのみ存在するため、検知されずにいる可能性があります。Duqu 2.0には2種類のバージョンがあります。1つ目は、攻撃者が組織に足掛かりを得られるようにするバックドアです。その後、攻撃者はDuqu 2.0の2つ目のバージョンを使用できるようになります。このバージョンには、偵察、ラテラルムーブメント、データ流出などの機能が追加されています。Duqu 2.0は、通信業界の企業と著名なセキュリティソフトウェアプロバイダーの少なくとも1社に対する侵害に使用されています。
ファイルレスのランサムウェア
攻撃者は、攻撃方法を1種類に限定しているわけではありません。利益を得るために役立つものは、どのようなテクノロジーでも使用します。現在、ランサムウェア攻撃者は、ファイルレスの手法を使用して悪意のあるコードをドキュメントに埋め込んでいます。マクロなどのネイティブスクリプト言語を使用するか、エクスプロイトを使用して悪意のあるコードを直接メモリに書き込むことで、これを実現しています。その後、ランサムウェアはPowerShellなどのネイティブツールをハイジャックし、ディスクに1行も書き込むことなく人質ファイルを暗号化します。
ファイルレス攻撃のステージ
ファイルレスマルウェア攻撃のステージは次のとおりです。
ステージ#1:アクセス権の取得
テクニック:脆弱性をリモートで悪用し、Webスクリプトを使用してリモートアクセス権を得る(China Chopperなど)
攻撃者は被害者のシステムへのリモートアクセス権を取得し、攻撃の足がかりを確立します。
ステージ#2:認証情報の窃盗
テクニック:さまざまなテクニック(Mimikatzなど)
前段階で取得したアクセス権を使用して、攻撃者は侵害した環境での認証情報を獲得しようとします。これにより、その環境内の他のシステムへ簡単に移動できるようになります。
ステージ#3:永続性の維持
テクニック:レジストリーを変更してバックドアを作成する(Sticky Keysバイパスなど)
これで攻撃者はバックドアを設定し、攻撃の最初の手順を繰り返さなくても、この環境に戻れるようになります。
ステージ#4:データの引き出し
テクニック:ファイルシステムと組み込みの圧縮ユーティリティを使用してデータを収集し、FTPからデータをアップロードする
最終ステップで、攻撃者はデータを収集して流出させる準備をします。データをコピーして1箇所にまとめ、Compactなど、すぐに利用できるシステムツールを使用して圧縮します。次に、攻撃者はFTP経由でデータをアップロードすることで、被害者の環境からそのデータを削除します。
ファイルレスマルウェアの検知方法
従来型アンチウイルス、許可リスト、サンドボックス、さらに機械学習手法ですら、ファイルレス攻撃から保護することができないなら、他に何があるでしょうか。組織は自己防衛のため、複数の手法を組み合わせた統合的アプローチを使用できます。
侵害の痕跡 (IOC) に限定せず攻撃の痕跡 (IOA) を重視する
攻撃の痕跡 (IOA) により、組織はファイルレス攻撃を防ぐための積極的なアプローチを取ることができます。IOAは、攻撃がどのように実行されたかに焦点を当てるのではなく、攻撃が進行中である可能性を示す兆候を探します。アクションの開始がハードドライブ上のファイルからであるか、ファイルレス手法からであるかは関係ありません。重要なことは、実行されたアクション、それが他のアクションとどのように関連しているか、シーケンス内のアクションの位置、およびその依存アクションのみです。これらのインジケーターにより、振る舞いの背後にある本来の意図と目標、その周囲のイベントが明らかになります。
IOAにはコード実行、ラテラルムーブメント、アクション(本来の意図を隠しているように見えるもの)などの兆候が含まれます。それらは連続したイベントを探します。ファイルレスマルウェアであっても、目標を達成するにはこれらを実行しなければなりません。
また、IOAは意図とコンテキストと順序を精査するため、正当なアカウントを使用して悪意のあるアクティビティを実行する場合も、それを検出してブロックできます。多くの場合、これは攻撃者が認証情報を盗んで使用する場合に行われます。
マネージド脅威ハンティングを採用する
ファイルレスマルウェアの脅威ハンティングは、大量のデータを収集して正規化する必要があり、時間と手間のかかる作業です。しかし、これはファイルレス攻撃に対する防御として必要な部分であるため、大多数の組織では、脅威ハンティングを専門のプロバイダーに任せることが最も現実的なアプローチとなっています。
マネージド脅威ハンティングサービスは、24時間の監視体制で先を見越して侵入を探し、環境をモニタリングし、標準的なセキュリティ技術では見逃される可能性のある目立たないアクティビティを感知します。
クラウドストライクが組織内のファイルレス攻撃を防ぐ方法
シグネチャベースの手法、サンドボックス化、許可リスト、または機械学習による保護方法に依存している場合、ファイルレス手法の検知は非常に困難です。
検出の難しいファイルレス攻撃を防御するために、クラウドストライクでは、複数の脅威検知方法を独自に組み合わせた強力な統合アプローチを提供し、比類のないエンドポイント保護を行っています。CrowdStrike Falcon®プラットフォームは、単一の軽量エージェントを介してクラウドネイティブな次世代エンドポイント保護を行い、一連の補完的な防御および検知方法を提供します。
Falconプラットフォームのアプリケーションインベントリは、環境内で実行されているすべてのアプリケーションを検出し、脆弱性を見つけるために役立ちます。これによりパッチの適用と更新を行い、エクスプロイトキットの標的にならないようにすることができます。
エクスプロイトブロックは、パッチ未適用の脆弱性を悪用するエクスプロイトを使用して実行されるファイルレス攻撃を阻止します。
IOAは、攻撃の早い段階、つまり完全に実行されて損害が生じる前に、悪意のあるアクティビティを特定してブロックします。この機能は、被害システムの暗号化にファイルを使用しないような新しいカテゴリのランサムウェアからも保護します。
スクリプト制御は、拡張された可視性とファイルレススクリプトベースの攻撃に対する保護を提供します。
高速メモリスキャンは、ファイルレスでマルウェアフリーの攻撃から保護します。このような攻撃には、持続的標的型攻撃 (APT攻撃)、ランサムウェア、メモリ内のCobalt Strikeのようなデュアルユースツールなどがあります。
CrowdStrike® Falcon Adversary OverWatch™は、ファイルレス手法の結果として生成された悪意のあるアクティビティを24時間プロアクティブに検索する、マネージド脅威ハンティングを提供します。
ファイルレスマルウェアに関するFAQ
Q:ファイルレスマルウェアとは何ですか?
A:ファイルレスマルウェアは、システムに組み込まれたネイティブの正当なツールを使用してサイバー攻撃を実行する悪意のあるアクティビティの一種です。
Q:一般的なファイルレスマルウェアの手法にはどのようなものがありますか?
A:一般的なファイルレスマルウェア手法には、エクスプロイトキット、レジストリーに常駐するマルウェア、メモリオンリーマルウェア、ファイルレスランサムウェアなどがあります。
Q:ファイルレスマルウェアはどのように検知すればよいですか?
A:攻撃の痕跡 (IOA) は攻撃が進行中である可能性がある兆候を探すため、侵害の痕跡 (IOC) だけでなく攻撃の痕跡 (IOA) も併用して検知を行ってください。
Q:ファイルレスマルウェアを示す兆候にはどのようなものがありますか?
A:IOAとしてはコード実行、ラテラルムーブメント、アクション(本来の意図を隠しているように見えるもの)などの兆候が見られます。IOAは連続したイベントを探します。ファイルレスマルウェアであっても、目標を達成するにはこれらを実行しなければなりません。
カート・ベーカー(Kurt Baker)は、クラウドストライクのFalcon Intelligenceの製品マーケティング担当シニアディレクターです。同氏は、新興ソフトウェア企業を専門とする上級管理職で25年以上の経験があります。サイバー脅威インテリジェンス、セキュリティ分析、セキュリティ管理、高度な脅威保護に関する専門知識があります。クラウドストライクに入社する前は、Tripwireで技術的な役割を果たし、エンタープライズセキュリティソリューションからモバイルデバイスに至るまでの市場でスタートアップを共同設立したことがあります。ワシントン大学で文学士号を取得し、現在はマサチューセッツ州ボストンで活動しています。
