ファイルレス型のマルウェアに対抗--Windows 10のセキュリティ対策事例

Liam Tung (Special to ZDNET.com) 翻訳校正: 編集部

2018-10-04 13:32

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 Microsoftは、最近になって登場したある攻撃テクニックへの対策に取り組んでいる。その攻撃テクニックとは、企業の「Windows 10」を保護するうえで鍵となるセキュリティプラットフォームである「Windows Defender Advanced Threat Protection」(ATP)をバイパスするという、ペネトレーションテスト用のキットで使われているものだ。

 Microsoftによると同社は過去に、悪意のあるコードを実行可能ファイルとしてファイルシステム上に保存することなく、メモリ上で直接実行し、情報を盗み出すというファイルレス型のマルウェアを2件検出しているという。

 ファイルレス型のマルウェアが台頭してきているのは、セキュリティ上の防御を固めるために提供されている無料のツールが、攻撃の実行にも利用できるためだ。

 Microsoftが検出したマルウェアは、ペネトレーションテスト用のキット「Sharpshooter」のテクニックを利用したものだった。Sharpshooterは、さまざまなWindows形式のペイロードを生成するため、企業向けのマルウェア対策製品の目をかいくぐることができる。

 Sharpshooterは、英国のペネトレーションテスト企業MDSecによって2018年に入ってリリースされたキットであり、Googleのセキュリティチーム「Project Zero」に所属する研究者のJames Forshaw氏が開発した「DotNetToJScript」というツールのテクニックを利用している。

 Windows Defender ResearchチームのAndrea Lelli氏は、「Sharpshooterのテクニックを用いることで、攻撃者は.NETのバイナリをディスク上に格納せずとも、メモリ上で直接実行できるようなスクリプトが利用可能になる」と説明している。

 「このテクニックにより、単一のスクリプト内に(今までのものと)同一のバイナリペイロードを容易に再パッケージ化できるフレームワークが攻撃者に提供される」(Lelli氏)

 またSharpshooterには、「Antimalware Scan Interface」(AMSI)を無力化するモジュールが含まれているという点も述べておくべきだろう。AMSIは、Windows DefenderをはじめとするMicrosoftのマルウェア対策製品に対する実績あるインターフェースで、Microsoftが発見したというファイルレス型のマルウェアのようにJavaScriptやVBScriptなどで記述されて難読化されたスクリプトを検査するためのものだ。この無力化モジュールを用いることで、攻撃者らはAMSIをすり抜けてスクリプトを実行させられるようになる。

 しかしLelli氏によると、Sharpshooterが公開された際、Microsoftは同フレームワークが悪用される可能性を予見し、「静的なスクリプトに基づくのではなく、実行時のアクティビティに基づく(同フレームワークがもたらす脅威の検出に特化した)検出アルゴリズムを実装した」という。

 Lelli氏は「この検出アルゴリズムは、スクリプトエンジンでAMSIサポートを活用し、マルウェア全般に見られる特徴的な振る舞いを標的にしている」と述べている。

 「スクリプトエンジンには、スクリプトが実行時点で呼び出したAPIを記録するログ機能が搭載されている。このAPI記録処理は動的に動作するため、スクリプトの難読化によって処理が妨げられることはない。スクリプトは自らのコードを隠せるだろうが、その振る舞いを隠すことはできないのだ。そして、ある種の危険なAPI(すなわちトリガーとなるAPI)が起動された際、このログはAMSI経由でウイルス対策ソリューションによって走査される」(Lelli氏)

 同社はWindows Defender ATPとAMSIを連携させることにより、6月に2種類のファイルレス型マルウェアのキャンペーンを検出している。これらのマルウェアはSharpshooterのテクニックに基づいたVBScriptを使用し、「極めて隠密性の高い」、.NETの実行可能コードをペイロードとして送り込もうとしていた。

 このペイロードは、中核となるマルウェアの暗号化を解除する復号鍵をダウンロードするようになっており、そのマルウェア自体もディスクへの書き込みを行わずにメモリ内で実行される、ファイルレス型のコードになっていた。

 Microsoftによると、その攻撃は本物のマルウェアを使用していたものの、実際にどこかを標的にした攻撃キャンペーンではなく、ペネトレーションテストの一環として実施されたものだと結論付けられるだけの十分な情報を得ているという。

Windows Defender ATP detected two Sharpshooter campaigns in June
MicrosoftはWindows Defender ATPが、6月に2種類のファイルレス型マルウェアのキャンペーンを検出したと述べている。
提供:Microsoft

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み
関連キーワード
Microsoft
日本マイクロソフト
Windows 10
マルウェア

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]