企業の3分の1は、ファイルレスマルウェア攻撃に直面

従来のマルウェアによって実行される攻撃とは異なり、ファイルレスマルウェアは、ターゲットマシンにソフトウェアをインストールする必要がありません。その代わりに、ファイルレスマルウェア攻撃はWindowsに組み込まれたツールを利用する必要があり、特にPowerShell攻撃では、PowerShellを悪意のあるアクティビティに使用します。正規のプログラムを使用すると、これらの攻撃の検知は一層困難になります。なぜなら、これらのツールおよび実行されるアクションは信頼されているからです。

ファイルレスマルウェア攻撃によって使用される多くの技術は、以前から存在しています。例えば、2000年代初めからSQL Slammerワームではインメモリの攻撃が顕著になっていました。しかし、エクスプロイトキットの開発および大規模な分散により、ファイルレスマルウェア攻撃は極めて一般的になりました。例えば、EmpireやPowerSploitのような攻撃的なPowerShellフレームワーク、およびMetasploitやCobaltStrikeのようなPost-Exploitation (侵入後の悪用)フレームワークは、PowerShell攻撃のペイロードを素早く作成するために使用できるため、特に悪用されています。

これらの攻撃の検知で企業が直面している困難さと、これらの技術が使用可能になったことが相まって、この戦略が益々受け入れられています。もはや不正な技術ではなく、SANS 2017 Threat Landscape surveyの対象となった企業の3分の1は、ファイルレスマルウェア攻撃に直面していると報告されています。

ファイルレスマルウェア攻撃が新しい規範になっている状況で、この脅威について知らなければならないことを次に示します。

ファイルレスマルウェア攻撃に見る攻撃者がアンチウィルスソフトウェアを迂回する方法

マルウェアが関係する攻撃は、通常、マルウェアを仕込んだダウンロードしてはいけないものをダウンロードさせるか、ソフトウェアの欠陥を悪用して、ペイロードを実行する実行可能ファイルをインストールすることにより、攻撃者がコンピュータにアクセスすることで攻撃します。一方、アンチウィルスソフトウェアは、コンピュータで既知のマルウェアシグネチャをスキャンし、これらのファイルの実行をブロックするように設計されています。

しかし、ファイルレスマルウェア攻撃ではソフトウェアが一切使用されないため、アンチウィルスプログラムが探すシグネチャは存在せず、これらの製品でファイルレスマルウェア攻撃は検知されないことになります。攻撃者はPowerShellまたは他の信頼できるツールを乗っ取り、それを使用して悪意のあるアクティビティを行うだけです。

他のセキュリティプログラムも、これらの攻撃の検知に関しては大して変わりません。ここでも非マルウェア攻撃および環境寄生型攻撃とみなされます。攻撃者はコマンドの実行にWindowsネイティブの信頼できるプログラムを使用するため、ほとんどのセキュリティ製品はこれらの攻撃を検知できません。その他の製品は、PowerShellのようなツールが悪意を持って使用されているのかどうか正確に判断できません。

PowerShellは攻撃者にとってファイルレスマルウェア攻撃を実行するための最適なツール

PowerShellは、高度なスクリプト言語で、Windows APIへの無制限のアクセスなど、かつてないマシンの内部コアへのアクセスを可能にします。さらに、PowerShellには完全に信頼されるWindows固有の要素であるというメリットもあるため、実行したコマンドは、通常、セキュリティソフトウェアには無視されます。

PowerShellにはWinRMを介してリモートで実行する機能があり、これによってさらに魅力的なツールになっています。この機能により、攻撃者はWindows Firewallを通過し、PowerShellスクリプトをリモートで実行するか、単純にPowerShellの対話型セッションにドロップすることで、エンドポイントを完全に制御できるようになります。さらに、WinRMがオフになっている場合、1行のコードを使用して、WMI (Windows Management Instrumentation)を介してリモートからオンにすることができます。

ファイルレスマルウェア攻撃でPowerShellを使用すると、1台のマシンの侵害と企業全体の侵害との間の境界線が曖昧になります。攻撃者が1台のマシンのユーザー名とパスワードを取得した瞬間(これはPtHおよびPtTセッションで簡単に入手できます)、完全な侵害への道が開かれます。

従来のセキュリティへの取り組みは、このような攻撃の前では役に立たなくなります。なぜなら、PowerShellは信頼性が高く、信頼できるシグネチャを持ち、システムメモリから直接ロードされ(これはヒューリスティクスを使用してスキャンできません)、Windowsに不可欠な要素であるためOSに無制限でアクセスできるからです。

PowerShellの動作が合法か、悪意があるかを見分けるのは困難だが不可能ではない

Cybereasonは、悪意のあるPowerShellアクティビティの検知と阻止の両方を可能にする最初のソリューションです。サイバーリーズンのソリューションは、PowerShellエンジンも含め、環境内で実行されているすべてのアクティビティとコマンドに対する比類のない優れた可視性を提供します。

このソリューションは、rawスクリプトやコマンドラインを分析するだけでなく、相互作用および挿入も処理します。それどころか、PowerShellエンジン内で実行しているコードによって起動されたすべてのアクションを監視します。

Cybereasonは、どのマシンが他のエンドポイントでリモートPowerShellアクセスを呼び出したか、スクリプトはリモートシステムとどのようにやり取りするかなどの行動に関する重要な質問をします。このような質問は、ファイルレスマルウェア攻撃を特定するために役立ちます。優れた可視性と行動分析を組み合わせることで、このソリューションは、PowerShellの悪意のある使用と無害な使用を確実に識別します。

Cybereasonソリューションが対応する重要な要求は、次のとおりです。

• PowerShellの全バージョンに対応(最も一般的なものも、最も安全性の低いPowerShellバージョン2も含む)。
• あらゆるタイプのPowerShell呼び出しを処理(コマンドライン、対話型、スクリプトファイル、マネージドまたはアンマネージドプロセスによるSystem.Management.Automation.dllのロードを含む)。
• あらゆるタイプの難読化を使用したコピー。
• ユーザーエクスペリエンスへの影響なし。
• アナリストに攻撃について通知し、関連する詳細情報を提供する(関係するユーザーとマシンなど)。
• ブラックリスト/ホワイトリストオプションの構成および組み込みが可能。

ホワイトペーパー「PowerShell攻撃（ファイルレスマルウェア）を確実に防御」

侵入後に展開するPowerShellを使用したファイルレス型マルウェア攻撃は、ここ数年、攻撃者が好んで選択する攻撃となっており、ダウンロード/実行ペイロード、APT攻撃、さらにはランサムウェアなどの攻撃に悪用されています。PowerShell攻撃（ファイルレスマルウェア）の課題とCybereasonによるPowerShell攻撃の確実な防御について詳しく解説します。
https://www.cybereason.co.jp/product-documents/white-paper/2121/