以前は、Stuxnetワームのような国が後援する攻撃に関連付けられていました, ファイルレスマルウェアが主流になりつつある. 今後のカスペルスキーラボによると リサーチ, 少なくとものネットワーク 140 銀行は、メモリ内の設計に依存してほとんど見えない状態を維持するファイルレスマルウェアに感染しています。, Arstechnicaによって説明されているように.
そのような攻撃を見つけることの難しさを考慮する, 影響を受ける企業の数は、当初の予想よりもはるかに多い可能性があります. PowerShellなどの合法で非常に人気のあるツールの展開, Metasploitと ミミカッツ 注入プロセスでは、検出がほとんど不可能になります, 研究者は指摘する.
Arstechnica KasperskyLabの専門家であるKurtBaumgartnerとの会話で、「ここで興味深いのは、これらの攻撃が銀行自体に対して世界的に進行していることです」と述べています。, さらに、ほとんどの場合、銀行は効果的に準備されておらず、これらの攻撃に対処できません。. 匿名で事態はさらに悪化する 140 組織は全体に散らばっています 40 さまざまな国, 私達と一緒に, フランス, エクアドル, ケニア, 英国は最もターゲットを絞った上位5つの地域です.
不運にも, Kasperskyの研究者は、攻撃の背後にいる人物の概要を説明できませんでした, そしてそれが単一のグループであるか複数の競合するグループであるか. 何故ですか? デフォルトでwhoisデータに関連付けられていないコマンドサーバードメインと組み合わせたファイルレスマルウェアは、識別プロセスを非常に困難にします, 完全に不可能ではないにしても.
KasperskyLabはこれらの調査結果にどのように遭遇しましたか?
銀行や企業に対して展開されたファイルレスの脅威は、 2016. これは、名前のない銀行のセキュリティチームが Meterpreter, Metasploitのメモリ内コンポーネント, Microsoftドメインコントローラーの物理メモリ内に存在する, Arstechnicaは言います. チームは後で、Meterpreterコードがダウンロードされ、PowerShellコマンドを使用してメモリに挿入されたと結論付けました。. 被害を受けたシステムは、MicrosoftのNETSHネットワーキングツールを使用して、攻撃者によって制御されているサーバーにデータを転送しました。. 管理者権限を取得するためにMimikatzも導入されました.
攻撃者がPowerShellコマンドをWindowsレジストリに隠したため、証拠はほとんど残っていませんでした。. ドメインコントローラーには、まだいくつかの無傷の証拠が残っていました. 研究者たちは、カスペルスキーが検査を開始する前に再開されていなかったため、まだそこにあったと信じています. 最終的に、研究者はMeterpreterとMimikatzのコードを復元して、システム管理者のパスワードを収集し、感染したホストコンピューターをリモート管理するためのツールが展開されていることを確認できました。.
これらすべてのインシデントに共通する分母を調べています, これは、Meterpretorをダウンロードし、ネイティブのWindowsユーティリティとシステム管理ツールを使用してそこからアクションを実行するためにPowerShellをレジストリに埋め込む際のこの奇妙な使用法です。.
攻撃がどのように開始されたかについて, まだ具体的なことは何もありませんが、SQLインジェクションがWordPressプラグインを標的とするエクスプロイトと一緒に使用された可能性があります. ファイルレスマルウェア攻撃の詳細は4月に予想されます, ATMからお金を吸い上げるために感染がどのように展開されたかの詳細を含む.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: