ファイルベースの攻撃では、バイナリのペイロードが標的マシン上にダウンロードされた後に実行されることで、悪意あるアクションが実施されます。従来型のアンチウイルス製品は、マルウェアのシグネチャを特定し、それを既知のマルウェアデータベースと比較することにより、そのような既知の攻撃を回避しようとします。シグネチャが同データベース内に見つかった場合、アンチウイルス製品はそのマルウェアを回避できます。

ファイルレス型のマルウェア攻撃は、このようなアンチウイルス製品の裏をかくために、悪意ある実行可能ファイルを表す「しるし」となるものを標的マシン上では一切提供しません。その代わりに、攻撃者は、PowerShellWMIMicrosoft Officeのマクロ.NETのような、システムに組み込まれている正規ツールを悪意ある目的に使用します。つまり、Windowsが自分自身に敵対するように仕向けるのです。

このような攻撃に対する防御を行うには、MITREのATT&CKフレームワークを利用します。興味のある方は、ATT&CKフレームワークを利用して5つのステップで閉ループ型のセキュリティプロセスを作成する方法をお読みください

living-off-the-landとは何か

正規のツールを悪意ある目的に利用する手法は、living-off-the-land(環境寄生)と呼ばれます。この手法は、少なくとも20年前から世の中に出回っています。悪用される正規ツールはLOLBinsと呼ばれ、これにはMicrosoft Officeのマクロ、PowerShell、WMIをはじめ、その他の多くのシステムツールが含まれます。実際、100種類以上のWindowsシステムツールが、この手法により悪用されています。

living-off-the-landとファイルレスマルウェアの関係

LOLBinsの多くは、ITプロフェッショナルの日常的なワークフローに組み込まれており、それらがなければIT部門の効率性や適用範囲が大幅に損なわれることを考慮するならば、LOLBinsをブロックすることは現実的ではありません。当然ながら、最も大きなパワー、適用範囲、ユビキタス性を備えたツールが、攻撃者によって利用される最も一般的なツールとなります。これは、Windowsツールキットが最も魅力的であることを意味します。

なぜなら、同ツールキットには、PowerShell、WMI、Officeのようなツールやスイートがデフォルトで含まれているからです。攻撃者は、自分達が利用している一連のツールが、標的とするすべてのWindowsマシン上にプリインストールされていることを認識しています。さらに攻撃者は、それらのツールが標的とする企業や組織にとって不可欠なものであり、企業や組織は同ツールの利用を停止できないことも知っています。

また、ファイルレスマルウェアは、他のマルウェアに比べて、ディスク上のファイル数が少なく、攻撃者が攻撃を実行するために実施する必要のあるアクションの数も少ないという特徴があります。さらに、このような攻撃のタイプを特定するためには、セキュリティツールは、ツールへのアクセス方法、ツールの振る舞い、ユーザーが生成するものなど、シグネチャ以外のものに注目する必要があります。これは、アンチウイルス製品のような従来型のセキュリティツールにはできないことです。

このため、ファイルレスマルウェアに対する防御はより困難になります。この問題に真っ向から立ち向かうためには、これらの攻撃を検知できるような新しい形式の防御策と新しいタイプのテレメトリーを導入する必要があります。

ファイルレス攻撃は、大多数のアンチウイルス製品および次世代のアンチウイルス製品をすり抜けることができるため、攻撃者にとって強力なツールとなります。ファイルレス攻撃については1990年代初頭より主流のサークルにおいて議論されてきましたが、この攻撃ベクターは今もなお人気があります。

その証拠としては、2018年第1四半期にファイルレス攻撃の件数が94%増加したこと、および2018年にはエンドポイント攻撃の1,000件中42件がファイルレスマルウェアを利用していたことが挙げられます。ちなみに、ランサムウェアを利用していたエンドポイント攻撃の件数は、最大で1,000件中14.4件でした。

Ponemon InstituteのThe State of Endpoint Securityによれば、2019年には、企業を標的としたすべての攻撃のうちの38%がファイルレス攻撃になると予想されています。

ファイルレスマルウェアの動作の仕組み

ファイルレスマルウェアは、オペレーティングシステム上で動作している信頼できる正規プロセス(LOLBins)を利用して、悪意あるアクティビティを実行します。これには、ラテラルムーブメント、権限昇格、検知回避偵察ペイロードの配信などのアクティビティが含まれます。

我々は、その調査において、2019年度だけで多数のケースのファイルレス攻撃に遭遇し、同攻撃の防止または検知を行いました。我々は、攻撃者が、次に示すような幅広い種類のデフォルトのWindowsプロセスを攻撃に利用しているのを目撃しました。

上記は、ファイルレス攻撃で利用されたプロセスを網羅したものではありません。我々が強調したいのは、これらがすべてLOLBinsであるということです。当社は、他のどのサイバーセキュリティ企業よりも効果的かつ適切に、これらのファイルレス攻撃を回避できます。

ファイルレスマルウェアを攻撃で使用する理由

  • ステルス性:ファイルレス攻撃は正規のツールを利用します。これは、企業や組織が、ファイルレス攻撃で使用されるそれらのツールをブロックすることがほぼ不可能であることを意味しています。
  • living-off-the-land(環境寄生):ファイルレスマルウェアで利用される正規ツールは、デフォルトでインストールされるソフトウェアです。攻撃者は、それらを使用するために、カスタムツールを別途作成またはインストールする必要はありません。
  • 信頼されており頻繁に使用される:これらのツールは頻繁に使用され信頼されています。ファイルレス攻撃で使用されるこれらのツールが企業環境で正規の目的のために実行されているのを目にすることは珍しくありません。

ファイルレスマルウェアの検知や回避が困難である理由

ファイルレスマルウェアは、企業のプロフェッショナル達の日常的なワークフローの一部となっているツールを利用しています。攻撃者は、自分達が利用している一連のツールが、すべてのWindowsマシンにプリインストールされており、同ツールが企業の毎日の業務にとって不可欠であることを認識しています。また、ファイルレスマルウェアは、他のマルウェアに比べてディスク上のファイル数が少ないという特徴があります。これは、シグネチャベースの防止および検知方法ではファイルレスマルウェアを特定できないことを意味します。

このため、アナリストやセキュリティ製品にとって、当該ツールが悪意ある目的に使用されているか、それとも正規の日常的な活動のために利用されているかを判断することが非常に難しくなっています。アナリストは、LOLBinsを仕事で特定できるようになるためには、各自の環境を徹底的に把握することが必要となります。

ファイルレスマルウェア攻撃が流行するようになった理由としては、上記のことが考えられます。我々は、将来ファイルレスマルウェア攻撃がより一般的になると予想しています。その理由としては、攻撃者がファイルレスマルウェア攻撃を今後も反復し続け、自らの手法をコミュニティで共有するようになることや、攻撃者がmalware-as-a-serviceモデルに基づいてこのタイプのマルウェアを開発する可能性があることが挙げられます。

ホワイトペーパー「PowerShell攻撃(ファイルレスマルウェア)を確実に防御」

侵入後に展開するPowerShellを使用したファイルレス型マルウェア攻撃は、ここ数年、攻撃者が好んで選択する攻撃となっており、ダウンロード/実行ペイロード、APT攻撃、さらにはランサムウェアなどの攻撃に悪用されています。PowerShell攻撃(ファイルレスマルウェア)の課題とCybereasonによるPowerShell攻撃の確実な防御について詳しく解説します。
https://www.cybereason.co.jp/product-documents/white-paper/2121/

ホワイトペーパー「PowerShell攻撃(ファイルレスマルウェア)を確実に防御」