ファイルレスマルウェアとは何か、どのように機能するのか、そしてどのように防御するのか

ユニバーサルアドベンチャー » 全般 » ファイルレスマルウェアとは何か、どのように機能するのか、そしてどのように防御するのか

近年では ファイルレスマルウェア ファイルレスマルウェアは、ITチームやセキュリティチームにとって最も深刻な悩みの種の一つとなっています。ここで言うのは、添付ファイルでダウンロードされ、ウイルス対策ソフトで削除できるような典型的なウイルスではなく、システムプロセス内に潜む、はるかにステルス性の高いウイルスです。

この種の脅威は 正規のオペレーティングシステムツール特にWindowsでは、悪意のあるコードをRAM内で直接実行できます。ディスクに痕跡をほとんど残さないため、多くの従来のウイルス対策プログラムを回避し、長期間アクティブのまま活動を続け、情報の窃取、ファイルの暗号化、バックドアの維持など、検知されることなく実行できます。

ファイルレス マルウェアとは一体何でしょうか?

ファイルレスマルウェアについて話すとき、私たちは ディスク上の従来の実行ファイルに依存しない悪意のあるコード 機能します。他のプログラムのようにインストールされるのではなく、システムに既に存在するコンポーネント（スクリプト、サービス、コマンドインタープリタなど）を利用して、メモリに直接命令を読み込んで実行します。

技術的な観点から見ると、このマルウェアは通常 すでに実行中のプロセスに注入される あるいは、すべてをRAMにロードするコマンドを使って起動されることもあります。つまり、コンピューターの電源を切ったり再起動したりすると、多くの亜種は消えてしまいますが、その間に深刻な被害を引き起こすのに十分な時間があるのです。

ファイルベースのマルウェアと比較すると、これらの脅威は より軽く、より目立たず、追跡されにくいディスク上には疑わしい .exe ファイルや、必ずしも悪意のあるインストーラーは見つかりません。問題は、信頼されているように見えるプロセス内で何が起こるかにあります。

このアプローチは2017年頃に急増し、ファイルレス技術と クリッカー型トロイの木馬、高度なアドウェア、リモートアクセスツール（RAT）今日では、スパイ活動や APT からランサムウェアや暗号通貨マイニングまで、あらゆる種類の活動にそれらは統合されています。

ファイルレスマルウェアの内部の仕組み

仕組みを理解するには、ほとんどの通常のアプリケーションが ディスクに書き込まれ、その後メモリにロードされるファイル ユーザーが実行したときに実行されます。一方、ファイルレスマルウェアは最初のステップを省略し、オペレーティングシステム自体のメカニズムを使用してRAMに直接出現します。

多くのキャンペーンは「土地で生きる」という考え方に頼っています（土地を離れて生きる): 攻撃者 正当な行政権を乱用する 新しいバイナリを導入する代わりに。WindowsではPowerShellが代表的な例ですが、WMI、mshta、rundll32、VBScriptまたはJScriptスクリプト、その他の信頼できるバイナリ（LoLBin）も悪用されます。

典型的なシナリオは次のようになります。ユーザーが悪意のあるコンテンツを含むOfficeドキュメントを開いたり、フィッシングリンクをクリックしたりします。そこから PowerShellを呼び出すスクリプト あるいは、次のフェーズのコードをダウンロード、復号、あるいはメモリに挿入するための別のツール。これらはすべて、ハードドライブに永続的なファイルを作成することなく実行できます。

もう一つのよくあるベクトルは、 リモートコード実行の脆弱性ブラウザ、プラグイン、サーバーアプリケーションにおけるバッファオーバーフローなど、様々な脆弱性が存在します。この脆弱性を悪用することで、攻撃者は脆弱なプロセス内でシェルコードを直接実行し、そこから残りのコンポーネントをメモリにロードすることが可能になります。

いくつかの亜種では、 Windowsレジストリまたはスケジュールされたタスク システムの起動時やユーザーのログイン時に攻撃を再アクティブ化するスクリプトやコマンドを保存します。レジストリに何かが書き込まれたとしても、主な悪意のあるロジックはメモリ内で実行され続けるため、ファイル システムのみを対象としたツールでは検出が困難になります。

感染方法と初期アクセス

玄関ドアは通常、かなりクラシックな形をしています。 フィッシングメール、悪意のあるリンク、偽造文書 基盤ではファイルレス技術が使用されているにもかかわらず、初期アクセスの王者であり続けています。重要なのは、チェーン全体を通して、ディスク使用量を最小限に抑えるようあらゆる努力が払われていることです。

多くの事件でそれらは使用される マクロを含むMicrosoft Office文書 これらのマクロは起動されると、PowerShellまたはWMIを呼び出して、攻撃の次の段階をメモリにダウンロードして実行します。マクロがなくても、攻撃者はWord、Excel、 PDFリーダー またはスクリプト エンジン自体を使用してコード実行を実現します。

もう一つのアプローチは、直接活用することです 一見無害な実行ファイル ユーザーが電子メールで受け取ったり、Webからダウンロードしたりするファイルです。この実行ファイルは、.NETのリフレクションなどの技術を用いて悪意のあるモジュールを抽出し、メモリにロードすることができます。ただし、実際には別ファイルとしてディスクに保存されることはありません。

また、インターネットに公開されているウェブサーバーやアプリケーションを標的とした攻撃もあり、脆弱性を利用して ファイルレスコンポーネントを備えたWebシェル最近の例としては、Godzilla や類似のツールの使用が挙げられます。これらのツールでは、悪意のあるコードが HTTP リクエスト内に含まれ、侵害を受けたサーバーのメモリに直接挿入されます。

最後に、攻撃者は頻繁に 盗まれた資格情報管理者または特権アカウントのユーザー名とパスワードを入手した場合、RDP またはその他のチャネル経由でログインし、PowerShell スクリプト、WMI コマンド、または管理ツールを手動で起動して、システムに新しい実行ファイルを残さずにマルウェアをメモリにロードすることができます。

ファイルレスマルウェアが使用する特定の手法

これらの攻撃の鍵の一つは、 ネイティブ Windows ツール スクリプトの実行手段として悪意のある活動が利用される。これにより、悪意のある活動が通常の管理タスクに紛れ込み、分析と対応が複雑化する。

最も一般的な技術としては、 埋め込みコードランチャーとしての PowerShell コマンドラインから直接実行できます。例えば、難読化されたスクリプトがパラメータとして渡され、実行ポリシーが無効化され、ウィンドウが非表示になり、ペイロードがメモリに直接ダウンロードされます。これらの処理はすべて、.ps1ファイルや疑わしい実行ファイルが残ることなく実行されます。

もう一つの非常に一般的な戦術は、悪意のあるスクリプトを Windows Management Instrumentation (WMI) サブスクリプションWMI は定期的にスクリプトをトリガーし、メモリからコードを実行したり、コマンド アンド コントロール サーバーに接続したり、感染の新たな段階を開始したりすることがあります。

同様に、多くのグループでは Windows レジストリとタスク スケジューラ スクリプトやコマンドの保存場所として利用されています。スタートアップフォルダに実行ファイルを置く代わりに、埋め込みコードまたはオンザフライコードを含むPowerShell、mshta、またはrundll32スクリプトを実行するスタートアップキーまたはスケジュールされたタスクを定義します。

テクニックは、 .NETでのリフレクション軽量実行ファイルには、暗号化または圧縮されたアセンブリが含まれており、Reflection.Load を使用してメモリに直接ロードされます。.dll ファイルとしてディスクに書き込まれることはありません。これにより、一見通常の単一のプロセス内で、非常に高度なトロイの木馬を展開することが可能になります。

ファイルレス攻撃は何を引き起こすのでしょうか?

ファイルレス攻撃はその名前にもかかわらず、その影響は限定的ではありません。実際、次のような攻撃が可能です。 従来のマルウェアと同じ機能: 情報の盗難、データの暗号化、横方向の移動、スパイ活動、暗号通貨のマイニング、または永続的なバックドアのインストール。

多くのファイルレスキャンペーンは次のように動作します 資格情報窃盗犯これには、機密性の高いプロセスのメモリからパスワード、セッショントークン、または認証ハッシュを取得することが含まれます。これにより、追加のバイナリに頼ることなく、権限の昇格、より多くのシステムへの侵入、そして長期間のアクセス維持が容易になります。

他の人は ファイルレスランサムウェア暗号化と通信ロジックの一部はメモリ内で直接実行されます。ディスクコンポーネントが大量のファイルを操作するために出現する場合もありますが、攻撃の初期読み込みと制御はファイルレス技術によって行われるため、早期検出を回避できます。

攻撃者はインストールすることもできる ルートキットまたは高度なRAT これらのツールは一度侵入すると、ファイルレスチャネルを使用してコマンドを受信し、ネットワークを移動し、モジュールを更新します。システムプロセスや重要なサービスに統合されているため、駆除は特に困難です。

経済面では、その影響は データ損失、サービス中断、規制罰金、評判の失墜こうした侵入は数か月間検出されないことが多いため、流出した情報の量と侵害の範囲は膨大なものになる可能性があります。

ファイルレスマルウェア攻撃の段階

技術的な側面は異なりますが、ファイルレス攻撃のライフサイクルは、高度な侵入のライフサイクルと非常に似ています。 各フェーズで使用されるメカニズム そして彼らがどのようにカモフラージュするか。

の段階で 初期アクセス攻撃者は、フィッシングリンクのクリック、マクロを含むドキュメントの閲覧、脆弱なサーバーの悪用、侵害された認証情報の再利用など、最初の足掛かりを必要とします。そこから、標的のシステム内でコードを実行することが目的となります。

そのステップが達成されると、次の段階が始まります メモリ内での実行ここで、PowerShell、WMI、mshta、rundll32、VBScript、JScript、その他のインタープリターが、ディスク上に永続的な実行ファイルを生成せずにペイロードをロードしてアクティブ化します。コードは通常、難読化または暗号化され、RAM内でのみ復号化されます。

そして追跡が始まる 固執多くのファイルレス ペイロードはコンピューターを再起動すると消えますが、高度な攻撃者は、RAM 常駐スクリプトをレジストリ キー、スケジュールされたタスク、またはシステムの起動やユーザー ログインなどの特定の条件が満たされるたびにコードを再起動する WMI サブスクリプションと組み合わせます。

最後に、 最終目標 攻撃者の行動には、データの盗難と流出、情報の暗号化、さらなるマルウェアの展開、継続的なスパイ活動、重要システムへの妨害などが含まれます。これらはすべて、早期の警告やフォレンジック分析を回避するために、可能な限り目立たないようにしながら行われます。

なぜ検出するのが難しいのでしょうか?

ファイルレスマルウェアの大きな問題は ファイルと署名に基づく従来の防御モデルを打ち破る分析する疑わしい実行ファイルがない場合、多くのウイルス対策エンジンはメモリや正当なプロセス内で何が起こっているかを認識しません。

ディスク上にファイルがないということは、 定期的にスキャンするオブジェクトはありません 既知のパターンを探します。さらに、PowerShell.exe、wscript.exe、rundll32.exe など、オペレーティングシステム自体によって署名されたバイナリを利用することで、悪意のあるアクティビティは管理者が通常信頼する名前の背後に隠蔽されます。

さらに、多くの継承製品には 実行中のプロセスに対する可視性が限られているこれらはファイル システムとネットワーク トラフィックに重点を置いていますが、ファイルレス攻撃を裏切る可能性のある内部 API 呼び出し、コマンド ライン パラメーター、スクリプトの動作、またはレジストリ イベントをほとんど検査しません。

攻撃者はこれらの限界を認識し、 難読化、暗号化、コード断片化技術たとえば、悪意のあるスクリプトを複数のフラグメントに分割してリアルタイムで組み立てたり、画像、埋め込みリソース、または一見無害な文字列内に命令を隠したりします。

システムがめったに再起動されない環境（重要なサーバー、本番端末など）では、メモリ常駐型マルウェアは 数週間または数ヶ月間活動を続ける 特に、慎重に移動して交通量や目立つ行動を最小限に抑えれば、発見されることなく走行できます。

伝統的な防御の限界

この脅威に対する多くのプロバイダーの最初の対応は、 PowerShellやOfficeマクロなどのツールを制限または直接ブロックするいくつかのベクトルを削減することはできますが、ほとんどの組織にとって現実的または完全なソリューションではありません。

PowerShellは Windowsシステム管理の主要コンポーネントタスクの自動化、ソフトウェアの導入、そしてサーバー管理。これらを完全にブロックすると、ITワークフローが麻痺し、多くの社内プロセスをやり直さなければならなくなります。

さらに、攻撃者の観点から見ると、 単純なブロックポリシーを回避するrundll32 を使用してライブラリ (dll) から PowerShell エンジンをロードしたり、PS2EXE などのツールを使用してスクリプトを実行可能ファイルに変換したり、PowerShell.exe の修正されたコピーを使用したり、PowerShell スクリプトを PNG 画像に埋め込んで難読化されたコマンド ラインで実行したりする手法があります。

Office マクロでも同様のことが起こります。 多くの企業が彼らに依存している レポート、計算、ビジネスプロセスを自動化します。これらをグローバルに無効化すると、社内アプリケーションに障害が発生する可能性があります。また、VBAコードの静的解析のみに頼ると、誤検知率や検出漏れ率の管理が困難になることがよくあります。

さらに、 クラウドベースのサービスとしての検出 これらのマルウェアは常時接続を必要とし、マルウェアの初期実行を阻止するには遅延が大きすぎる場合もあります。ブロックの決定が数秒または数分後に行われた場合、被害は既に発生している可能性があります。

焦点はファイルから行動へ

ファイルがもはや主要な要素ではなくなったため、現代の防衛ソリューションは、 プロセスの動作を監視する ファイルの内容を検査するだけでなく、マルウェアの亜種は数千種類存在するものの、悪意のある活動のパターンはそれほど多様ではないという考え方に基づいています。

このアプローチは、 行動分析と機械学習 各プロセスが実行する処理（起動するコマンド、アクセスするシステム リソース、外部との通信方法、環境に導入しようとする変更など）を継続的に監視します。

たとえば、Officeプロセスが疑わしいとフラグ付けされるのは、 難読化されたPowerShellコマンドを実行する セキュリティポリシーを無効化し、疑わしいドメインからコードをダウンロードするパラメータを持つプロセス。あるいは、何の理由もなく突然数百もの機密ファイルにアクセスしたり、重要なレジストリキーを変更したりするプロセス。

最新世代のEDRシステムとXDRプラットフォームは、 エンドポイント、サーバー、ネットワークの詳細なテレメトリまた、インシデントがどのように発生し、どのようなプロセスが関与し、影響を受けたマシンにどのような変化が生じたかに関する完全なストーリー (ストーリーラインと呼ばれることもあります) を再構築できます。

優れた行動エンジンは脅威を検知するだけでなく、 悪意のある行為を軽減または自動的に元に戻す: 関連するプロセスを強制終了し、コンピューターを隔離し、暗号化されたファイルを復元し、レジストリへの変更を元に戻し、コマンド アンド コントロール ドメインへの通信を遮断します。

Windows における主要なイベントのテクノロジとソース

Windowsにおけるファイルレス脅威を分析するには、特に以下を活用するのが効果的です。 ネイティブオペレーティングシステムのテレメトリメカニズムこれらはすでに存在しており、舞台裏で何が起こっているかについて多くの情報を提供します。

一方では Windows イベント トレーシング (ETW)ETWは、プロセス実行、API呼び出し、メモリアクセス、その他のシステム内部に関する非常に詳細なイベントを記録できるフレームワークです。多くのEDRソリューションは、異常な動作をリアルタイムで検出するためにETWを利用しています。

もう一つの重要な点は ウイルス対策スキャンインターフェイス（AMSI）AMSIは、難読化されたスクリプトや動的コンテンツであっても、セキュリティエンジンが実行直前に検査できるようにするためにMicrosoftが設計したAPIです。AMSIは、PowerShell、VBScript、JScript、その他のスクリプト言語で特に役立ちます。

さらに、現代のエンジンは定期的に分析される レジストリ、タスク スケジューラ、WMI サブスクリプション、スクリプト実行ポリシーなどの機密領域これらの領域における疑わしい変更は、多くの場合、ファイルレス攻撃が持続的に行われていることを示す兆候です。

これらすべては、現在のプロセスだけでなく、 実行コンテキスト親プロセスがどこから来たのか、その前後にどのようなネットワークアクティビティが観察されたのか、奇妙な障害、異常なブロック、または、総合すると疑いの方向に傾くその他のシグナルがあったかどうか。

実用的な検出および予防戦略

実際には、これらの脅威から身を守るには、 テクノロジー、プロセス、トレーニングウイルス対策ソフトをインストールして忘れるだけでは不十分です。ファイルレス マルウェアの実際の動作に適応した階層化された戦略が必要です。

技術的なレベルでは、 EDRまたはXDRソリューション 行動分析機能とプロセスレベルの可視性を備えたツールが必要です。これらのツールは、アクティビティをリアルタイムで記録・相関分析し、異常な行動をブロックし、セキュリティチームに明確なフォレンジック情報を提供できる必要があります。

それも便利です PowerShell、WMI、その他のインタープリターの使用を制限する アクセス制御リスト、スクリプト署名 (コード署名)、および実行可能なコードと権限を制限する実行ポリシーを適用して、厳密に必要なものだけを保護します。

ユーザー側では、トレーニングが依然として重要であり、 フィッシング、疑わしいリンク、予期しない文書への注意これは、機密情報や高度な権限を持つ担当者にとって特に重要です。不注意なクリックを減らすことで、攻撃対象領域を大幅に縮小できます。

最後に、無視できないのは パッチとソフトウェア更新サイクル多くのファイルレスチェーンは、既にパッチが適用されている既知の脆弱性を悪用することから始まります。ブラウザ、プラグイン、エンタープライズアプリケーション、オペレーティングシステムを最新の状態に保つことで、攻撃者にとって貴重な侵入口を閉ざすことができます。

マネージドサービスと脅威ハンティング

中規模・大規模組織では、イベントの量が膨大で、社内チームだけですべてを把握するのは困難です。そのため、Slack はますます人気が高まっています。 監視および管理対応サービス (MDR/EMDR) および外部セキュリティ オペレーション センター (SOC)。

これらのサービスは、高度なテクノロジーと 24時間7日監視するアナリストチーム クライアントの環境を分析し、通常は見逃されるような微弱なシグナルを相関させます。その目的は、被害が発生する前にファイルレスマルウェアに典型的な動作を検知することです。

多くのSOCは次のようなフレームワークに依存しています。 MITER ATT＆CK 敵対者の戦術、手法、手順 (TTP) をカタログ化し、メモリ内実行、LoLBin の悪用、悪意のある WMI、またはステルス的なデータ流出パターンに合わせた特定のルールを構築します。

継続的な監視に加えて、これらのサービスには通常、 フォレンジック分析、インシデント対応、コンサルティング セキュリティ アーキテクチャを改善し、繰り返し発生するギャップを埋め、エンドポイントとサーバーの制御を強化します。

多くの企業にとって、高度なマルウェアの検出を専門とする社内チームを雇用できる余裕がないことから、この機能の一部をアウトソーシングすることが、このような複雑な脅威に対処するための最も現実的な方法です。

現実には、ファイルレス マルウェアはエンドポイント セキュリティに対する私たちの理解を永久に変えてしまいました。 ファイルはもはや唯一の重要な指標ではない深い可視性、行動分析、優れた管理手法、拡張されたサイバーセキュリティ文化の組み合わせによってのみ、日常的に攻撃を阻止することができます。