• ファイルレスマルウェアはディスク上に本体を直接格納しません。このタイプのマルウェアは、その検知と修復が複雑化していることから、2017年にはより一般的になりました。 近年、このような手法は標的型攻撃に限定されていましたが、現在の脅威の状況ではますます増殖しており、Kaspersky Labにはtrojan-clickerの新しいタイプまたはファイルレスコンポーネントをもつアドウェアも登録されています。

    次のファイルレス手法は攻撃で幅広く使用されています。

    • Windows Management Instrumentation (WMI)サブスクリプションに保存された悪意のあるスクリプト
    • コマンドラインのパラメータとしてPowerShellに直接渡される悪意のあるスクリプト
    • レジストリやOSスケジューラタスクに保存されてOSスケジューラによって実行される悪意のあるスクリプト
    • .Netリフレクション技術によってディスクに保存せずにメモリ内で直接抽出および実行される悪意のある実行可能ファイル
    • その他

    犯罪者は、次の方法でファイルレスペイロードを標的のマシンに配信します。

    1. 脆弱性を悪用
    2. マクロを含む悪意のあるドキュメント
    3. シンプルな実行可能ファイル

    以下はディスクに格納されていない悪意のあるスクリプトの実行に正規のアプリケーションが使用される例です。これらの手法は持続性アプローチに使用され、セキュリティ製品が取り組むべき大きな課題となっています。


    mshtaアプリケーションを利用した悪意のあるスクリプトの実行


    rundll32アプリケーションを使用して悪意のあるjavascriptスクリプトの実行


    悪意のあるWMIサブスクリプションの例

    次世代の多層防御の一部として、Kaspersky Labはファイルレス脅威の検知と保護を支援する複数のコンポーネントを提供します。

    • 脅威ふるまいエンジン (システムウォッチャー), には以下のコンポーネントが含まれます。
      1. ふるまい検知
      2. マルウェアによる悪意のある変更からのロールバック
      3. 脆弱性攻撃ブロック (AEP) 
    • OSスケジューラータスク、Windows Management Instrumentationサブスクリプション(WMI)、レジストリなどの重要な領域のスキャン用エンジン


    • ふるまい分析 により実行段階でのファイルレス脅威を効率的に検知できます。ふるまいに基づくヒューリスティック分析は、システム内の任意の[AM2]プロセス(正規のユーティリティを含む)の実行パターンを分析し、悪意のある動作を実行する試みを検知します。

      このようなヒューリスティック分析のその他の例としては、実行されたプロセスのコマンドラインパラメータと実行コンテキストの分析があります。

      • 実行したアプリケーション(オフィスアプリケーション、スクリプトホストなど)の親プロセス
      • 実行前のシステム上の動作は何であるか
      • システムに疑わしい動作(異常なネットワークアクティビティ、アプリケーションのクラッシュ、疑わしいURL要求など)があったか
      イベントソースのロールで使用される Event Tracing for Windows (ETW) および Antimalware Scan Interface (AMSI) などのOS Windowsに組み込まれたテクノロジーを活用するのも効果的です。

関連製品

US 7472420 B1

未知のマルウェアコンポーネントの検知方法とシステム

詳しくはこちら

US 8042186 B1

複雑なマルウェアの検知システムおよび方法

詳しくはこちら

US 8566943 B2

マルウェア検知でのイベントの非同期処理

詳しくはこちら

Operation Daybreak

Read more

企業ネットワークに対するファイルレス攻撃

詳しくはこちら

関連テクノロジー