🧓🏼 🕥 📱 今、あなたに会います：ファイルフリーのマルウェア検出 🗺️ 💩 👱🏿

攻撃者は、セキュリティ機能を回避するためにますます洗練された方法を使用することにコミットしています。ファイルフリーマルウェアを使用すると、攻撃の不可視性と有効性が高まります。昨年、2つの大規模なランサムウェア配布キャンペーン（ PetyaとWannaCry ）でファイルレス方式が使用されました。

ファイルレス攻撃は単純なアイデアに基づいています：デバイスに悪意のあるタスクを実行できるツール（たとえば、PowerShell.exeやwmic.exe）が既にある場合、悪意があると認識される可能性のある特別なプログラムをそのデバイスに配置するのはなぜですか？攻撃者がプロセスを制御し、そのようなプロセスのメモリ空間でコードを実行し、それを使用して既にデバイス上にある資金を呼び出すことができる場合、攻撃を検出することはより困難になります。

ローカルリソースを使用してこのアプローチをうまく適用することは複雑なタスクです。とりわけ、攻撃者は永続性の問題を解決する必要があります。電源がオフになると、情報はメモリに保存されず、ファイルがディスクに書き込まれないと、攻撃者は次の質問に直面します：リブート後にコードの自動実行を保証し、侵害されたシステムの制御を維持する方法？

Misfox：ネットワークに対するファイルレス脅威

2016年4月に、クライアントはMicrosoft Incident Response Teamにサイバー強要に関して連絡しました。攻撃者は、侵害されたクライアントコンピューターから盗まれた企業の機密情報を公開しないことを求めて、かなりの金額を要求しました。同時に、クライアントが法執行機関に頼ると、彼らは彼のネットワークを「つぶす」と脅した。状況は複雑でした。

助けて

2017年の第2四半期におけるWindows DefenderアンチウイルスによるMisfoxの検出数は、同年の第1四半期と比較して2倍以上に増加しました。

マイクロソフトインシデントレスポンスチームは、ネットワーク上のコンピューターを調査し、標的とするインプラントを発見し、侵害の程度を分析しました。クライアントは、ほとんどのコンピューターにインストールされている有名なサードパーティのウイルス対策製品を使用しました。最新のシグネチャによる更新にもかかわらず、アンチウイルスはターゲットインプラントを検出しませんでした。

また、マイクロソフトの研究者は、攻撃者がランサムウェアプログラムを使用してファイルを2回暗号化しようとしたことを知りました。幸いなことに、これらの試みは失敗しました。結局のところ、ネットワークを破壊する脅威は、「プランA」が機能しない場合に攻撃から利益を引き出す「プランB」でした。

さらに、研究者は、攻撃者が2つの異なるチャネルを使用して少なくとも7か月間、ネットワーク上に密かに存在していたことも発見しました。

これらのチャネルの最初には、いくつかのコンピューターに展開されたSwrort.Aと呼ばれるバックドアが含まれていました。このバックドアはアンチウイルスによって簡単に検出されました。
2番目のチャネルは、より洗練された興味深いものであることが判明しました。
- デバイス上のファイルに感染しませんでした。
- 彼はアーティファクトをディスクに残しませんでした。
- 従来のファイル検証方法では検出できませんでした。

PowerShellをオフにするときですか？

いや PowerShellは、多くのシステム機能とITインフラストラクチャにとって重要な強力で安全なツールです。サイバー犯罪者が使用するPowerShell悪意のあるスクリプトは、マルウェアの導入の結果であり、最初の侵害が行われた後にのみ実装できます。 PowerShellの悪意のある使用は、ソフトウェアの脆弱性の悪用、ソーシャルエンジニアリング手法の使用、資格情報の盗用など、他の悪意のあるアクティビティで始まった攻撃の症状です。したがって、攻撃者が独自の目的でPowerShellを使用することを許可しないでください。この保護を提供する方法をお読みください。

2番目のツールは、 Misfoxというファイルフリーのマルウェアでした。メモリ内で実行されると、Misfoxは次のことを行いました。

単一行のPowerShellコマンドレットを実行するレジストリキーを作成しました。
BLOBのレジストリに保存されている偽装PowerShellスクリプトを実行します。この偽装されたPowerShellスクリプトには、レジストリからPE64エンコードされたBase64ファイルを読み込むポータブル実行可能（PE）ブートローダーが含まれていました。

Misfoxは実行可能ファイルをコンピューターに配置しませんでしたが、レジストリに記録されたスクリプトにより、マルウェアが確実に保存されました。

ファイルレスメソッド

Misfoxは、一連のサイバー攻撃段階にファイルレスコンポーネントを埋め込む方法の例です。攻撃者は、ファイルを使用しないさまざまな方法を使用して、悪意のあるインプラントの検出を困難にします。それらの中には：

反射型DLLインジェクション

DLLのリフレクティブ実装により、DLLをローカルディスクに保存せずにプロセスメモリにロードできます。悪意のあるDLLは、攻撃者によって制御されているリモートコンピューターに配置され、侵害されたネットワークチャネル（TLSプロトコルなど）を介して配信されます。また、マクロやスクリプトなど、偽装形式で実装することもできます。その結果、攻撃者はオペレーティングシステムに実行可能モジュールをロードするための監視および追跡ツールをバイパスすることができます。 DLLの再帰的注入を使用したマルウェアの例は、 HackTool：Win32 / Mikatz！Dhaです。
メモリ内のエクスプロイト

攻撃者はメモリ内のファイルレスエクスプロイトを使用して、感染したコンピューター上で任意のコードをリモートで実行します。たとえば、 UIWIX脅威は、PetyaとWannaCryが使用したEternalBlueエクスプロイトを使用します。観察によると、彼はDoublePulsarバックドアをインストールしました。これはカーネルメモリ（SMB送信テーブル）に完全に収まります。 PetyaやWannacryとは異なり、UIWIXはファイルをディスクに配置しません。
スクリプトベースの方法

スクリプト言語は、メモリ内で完全に実行可能なペイロードを配信するための効果的な手段を提供します。スクリプトファイルには、暗号化されたシェルコードまたはバイナリオブジェクトを埋め込むことができます。これらの解読は、実行中に.NETオブジェクトを介して、またはAPIを直接使用してディスクに書き込むことなく可能です。スクリプト自体は、レジストリで非表示にできます（Misfoxの場合のように）。ネットワークストリームから読み取ったり、ディスクにアクセスせずにコマンドラインを使用して攻撃者が手動で実行したりできます。
WMIに保存

多くの場合、攻撃者はWindows Management Instrumentation（WMI）リポジトリを使用して悪意のあるスクリプトを保存し、WMIバインディングを通じて定期的に呼び出されました。このような手法の詳細な使用例は、この記事 [PDF]に記載されています。

File 365マルウェア保護オプション

Microsoft 365には、デバイス、SaaSアプリケーション、電子メール、インフラストラクチャをさまざまな攻撃から保護するための新世代のセキュリティテクノロジが含まれています。以下は、ファイルレス攻撃を検出して感染を防ぐことができるMicrosoft 365関連のWindows関連コンポーネントです。

ヒント

ファイルレス攻撃に対する特別な保護に加えて、Windows 10には、一般的な攻撃に対抗する他の新世代のセキュリティテクノロジーも含まれています。たとえば、 Windows Defender Application Guardを使用すると、Microsoft EdgeおよびInternet Explorerを介した悪意のあるプログラム（ファイルレスおよびその他の両方）のダウンロードと起動を停止できます。 Windows 10 Fall Creators UpdateのMicrosoft 365のセキュリティと管理機能の詳細については、こちらをご覧ください。

Windows Defenderアンチウイルス

Windows Defender Antivirus（WDAV）は、ローカルおよびクラウドベースの機械学習モデルの両方を使用して、一般的なヒューリスティックおよび動作検出方法を使用して、マルウェアの大部分をブロックします。 Windows Defender Antivirusは、次の機能を通じてマルウェアに対する保護を提供します。

AMSIマルウェア対策スキャンインターフェイスを使用したスクリプトを使用した攻撃の検出。これにより、いくつかのマスキングレベルでもPowerShellやその他のタイプのスクリプトをスキャンできます。
定期的および異常な動作の登録時の両方で、WMIリポジトリをスキャンすることにより、WMIを介して持続しようとするマルウェアの検出と削除。
詳細なメモリチェックと動作監視技術を使用して、DLLの再帰的挿入を検出します。

Windows Defenderエクスプロイトガード

Windows Defender Exploit Guard（WDEG）は、ホストレベルの侵入保護機能の新しいセットであり、デバイス上のさまざまな攻撃ベクトルをブロックすることで脆弱なゾーンを減らすのに役立ちます。ファイルレス攻撃を阻止するには、次の方法が使用されます。

Hypervisor Code Integrity Service（HVCI）を使用して、EternalBlueなどのメモリコアの悪用から保護します。HVCIは、カーネルモードソフトウェアの脆弱性による悪意のあるコードの挿入を高効率で防止します。
エクスプロイト保護モジュールを使用して、ユーザーモードでメモリエクスプロイトを防止します。これには、オペレーティングシステムレベルまたはアプリケーションレベルで使用されるエクスプロイトを防止するための多数のツールが含まれています
（特に）アプリケーションの特定の動作をブロックする脆弱なゾーン（ASR）の削減ルールを使用して、スクリプトを使用したさまざまなファイルフリー攻撃から保護します。

ヒント

技術的な制御に加えて、従業員とプロセスの効果的な管理制御も重要です。 PowerShellスクリプトとWMIツールを使用してリモートコンピューターでファイルレス技術を使用するには、攻撃者がそのようなコンピューターへの特権アクセスを必要とします。このアクセスは、資格情報を盗むことを許可する管理方法が不十分である場合（たとえば、ドメイン管理者アカウントのコンテキストでWindowsサービスの実行を設定する）に取得できます。特権アクセスの保護の詳細については、こちらをご覧ください。

Windows Defenderアプリケーションコントロール

Windows Defender Application Control（WDAC）は、厳格なコード整合性ポリシーを実装するメカニズムを提供し、信頼できるアプリケーションの実行のみを許可します。ファイルフリー攻撃に対抗するために、このコンポーネントはPowerShellを制限言語モードにします。これにより、直接.NETスクリプト、Add-Typeコマンドレットを介したWin32 APIの呼び出し、COMとの対話など、検証できないコードを実行できる高度な言語ツールの使用が防止されます-オブジェクト。これにより、PowerShellによる再帰的なライブラリインジェクション攻撃が効果的に防止されます。

Windows Defender Advanced Threat Protection

Windows Defender Advanced Threat Protection（WDATP）は、Windows Endpoint Protection（EPP）およびEndpoint Detection and Response（EDR）の統合プラットフォームです。システムのセキュリティがすでに侵害されている場合、ATPは、他の予防的保護手段では防止できなかったデバイスおよび企業ネットワークに対する複雑さが増す高度な攻撃について、企業のユーザーに通知します。このような攻撃を検出するために、サービスはグローバルセキュリティシステム、高度な動作分析、機械学習の詳細を使用します。いくつかの方法でファイルフリーマルウェアを検出できます。

異常なメモリ割り当てを検出する特別なツールを使用して特定し、DLLの再帰的インジェクションなどのファイルを使用しない方法を使用した隠れた攻撃を特定します。
AMSIマルウェア対策スキャンインターフェイスを使用したスクリプトベースのファイルフリー攻撃の検出。スクリプトを使用して PowerShellやその他のコンポーネントが実行されるタイミングをチェックし、機械学習モデルを使用します。

Microsoft Edgeブラウザ

NSS Labsの独立したセキュリティ専門家によると、Microsoft Edgeブラウザーは、他のブラウザーよりもソーシャルエンジニアリング手法を使用して、より多くのフィッシングサイトとマルウェアをブロックします。 Microsoft Edgeは、悪意のあるDLLを含む任意のコードの実行をブロックする反任意コード機能により、ファイルなしの攻撃に対抗します。これにより、再帰的なライブラリインジェクション攻撃を回避できます。さらに、Microsoft Edgeは、 Windows Defender Application GuardとWindows Defender SmartScreenテクノロジの統合により、ファイルレスおよびその他の脅威に対する幅広い保護を提供します。

ザイド・アラフェ

Windows Defender Research Teamのシニアプログラムマネージャー

一次資料

今、あなたに会います：ファイルフリーのマルウェア検出