サイバー攻撃者は、検知を逃れるための新たな方法を常に探しています。新しいマルウェア技術はオペレーティングシステムの機能を悪用し、ディスクにファイルを残すことなく、悪意のあるコードをメモリやオペレーティングシステムのレジストリに埋め込みます。ディスクファイルの解析を基盤としている従来型の検出ツールを、メモリ解析およびメモリ保護メカニズム、ふるまい解析、そして、より広範囲な情報共有で補強する必要があります。
ファイルを利用しない(ファイルレス)マルウェア攻撃では、Windowsレジストリにコードを埋め込む方法が現在の主流となっています。ファイルレス攻撃は多くの場合、電子メールメッセージ内のファイルまたはリンクとしてシステムに侵入します。こうした手法から、電子メールのスキャンとユーザーの意識向上研修が常に重要であることがよくわかります。リンクまたは添付ファイルがクリックされると、マルウェアはWindowsレジストリにペイロードを書き込み、そのあと消失します。
Windowsレジストリに書き込まれたペイロードには、何層ものトリックに隠されたスクリプトが含まれています。このスクリプトは、ユーザーのアクセス権限を削除したり、レジストリキー名にnull文字を含めたりすることで隠蔽されています。スクリプトは正当なWindowsプログラム(PowerShellなど)を呼び出し、svchost、dllhost、regsvr32など標準的なWindowsプロセスのメモリ領域に悪意のあるコードを埋め込みます。このため、悪意のあるプロセスを探してスキャンを実行しても、このコードを検出することはできません。
McAfee Labsがこれまでに確認したKovterやPowelikeなどの事例では、ウェブサイトやクリック型の広告にユーザーを誘導しており、感染したシステムがクリックボットになっています。システム内のリソースが多いほど、広告のトラフィックがより多く生成され、犯罪者により多くの利益をもたらします。解析した変種の中には、ランサムウェアのペイロードをダウンロードするものもありました。
ファイルレスマルウェアのレジストリ攻撃は、スキャンすべきマルウェアファイルも検出すべき悪意のあるプロセスも残しません。さらに、アクセス制御を削除し、値を暗号化することで、悪意のあるレジストリキーの痕跡を隠蔽します。オペレーティングシステムの更新やパッチでは攻撃を防ぐことができません。なぜなら、どの脆弱性も攻撃の標的にされていないからです。特殊なルールでレジストリキーやプロセスへの書き込みを禁止することはできますが、一般的な書き込み禁止ルールはお勧めできません。多数の正規プログラムでレジストリの変更が必要になるからです。
ウイルス定義ファイルの更新、あるいは「特効薬」となるツールであっても、それだけではこのようなファイルレス攻撃や、さらに新型のファイルレス攻撃に対する防御として不十分です。私たちが監視すべきはユーザーの行動とシステムの動作であって、個々のデバイス、ファイル、プロセスではありません。多くの場合、人間は最も脆弱な防御リンクであり、ファイルレス攻撃はその脆弱性を重点的に突いてくるのです。
電子メールとWebゲートウェイも、最初のマルウェアからユーザーを保護するのに役立ちます。ゲートウェイで悪意のあるリンクが検出されたら、ただちにその情報を他のユーザーと共有するだけでなく、そのURLへの最新のトラフィックをネットワークトラフィック解析でスキャンし、すでに感染している可能性のあるコンピュータを特定します。初期段階では、URLが悪質と判断される前に電子メールが到着している可能性があるため、レジストリが変更されていないか、また、PowerShellやWindows Management Instrumentationなどの管理ツールがスクリプトベースで実行されていないかどうかをエンドポイントのセキュリティで監視する必要があります。ハードウェアベースのメモリ保護は新しくできたセキュリティカテゴリで、防御層を強化することができます。ふるまい解析は、自動広告がクリックされると、感染したコンピュータを短時間で特定できるので、感染をすばやく封じ込めるのに役立ちます。検出不可能を可能にするには、チーム一丸となって防御に努める必要があります。
ファイルレスマルウェアの詳細については、『McAfee Labs脅威レポート 2015年11月』をご覧ください。
※本ページの内容は2015年12月15日更新のMcAfee Blog の抄訳です。
原文: Detecting the Undetectable: The growing sophistication of fileless attacks
著者: Vincent Weafer
