これは消えることのないトレンドです。サイバー犯罪者は、ますます高度化する技術の助けを借りて、常にセキュリティ防御を回避しようとします。. これにより、攻撃の効果が予想を超える、いわゆるファイルレスマルウェアが発生します。. ここでの完璧な例は、昨年発生した2つの悪名高いランサムウェアの発生の規模です。 – PetyaとWannaCryはどちらも、キルチェーンの一部としてファイルレス技術を導入しました.
として 説明 ファイルレスマルウェアの概要に関するMicrosoftによる, ファイルレスマルウェアの背後にある考え方は単純です: ツールがデバイスにすでに存在する場合, PowerShell.exeなど, 攻撃者の目的を達成するため, 次に、マルウェアとしてフラグが立てられる可能性のあるカスタムツールを削除する理由? サイバー犯罪者がプロセスを引き継ぐことができる場合, そのメモリ空間でコードを実行する, 次に、そのコードを使用して、すでにデバイス上にあるツールを呼び出します, 攻撃はステルスになり、検出がほぼ不可能になります.
ファイルレスマルウェア配布でのPowerShellの使用の増加
悪意のあるPowerShell攻撃, 特に, によって増加 661 の後半からのパーセント 2017 前半に 2018, の第1四半期から第2四半期に2倍になりました 2018, 詳細なSymantecレポートから明らかなように.
プレインストールされた用途の広いWindowsPowerShellは、サイバー犯罪者の攻撃兵器で最も人気のある選択肢の1つになっています, 研究者は言った. の増加がありました 661 悪意のあるPowerShellアクティビティが後半からブロックされたコンピューターの割合 2017 前半に 2018 —マルウェアオペレーターが攻撃においてPowerShellの展開に依然として大きく依存していることを明確に示しています.
PowerShellベースの手法は、ファイルがディスクに書き込まれないファイルレスマルウェアキャンペーンに特に有効です。, 多くの暗号通貨マイナーや金融マルウェアのように. ここでの最近の例は、sと呼ばれるGhostMinerです。.
The GhostMinerウイルス 3月の世界的な攻撃で発見された侵入型暗号通貨トロイの木馬です. そのケースを分析したセキュリティ研究者によると, この脅威は、「ファイルレス」の侵入を使用して世界規模で拡散できることが判明したため、「重大」とラベル付けされました。.
実際の侵入は、個々のターゲットと関連する攻撃キャンペーンに応じてさらに変更できるいくつかのステップのプロセスを使用して行われます。. 攻撃は、いくつかのPowerShell回避フレームワークに依存する最初の感染フェーズから始まります。. これらは通常のオペレーティングシステム保護をバイパスし、一般的なセキュリティソフトウェアに対しても機能する可能性があります: アンチウイルスプログラム, サンドボックスまたはデバッグ環境と仮想マシンホスト. モジュールは、脅威を回避または完全に除去するように設計されています. 場合によっては、マルウェアがターゲットコンピュータにステルス方式で感染できないことが判明した場合、マルウェアは自身を削除することを選択する可能性があります。.
「土地を離れて生きる」戦術全体, PowerShellがその一部です, 最近とても人気があります. WMIやPsExecなどのデュアルユースツール, 攻撃中によく見られる, この戦術のもう1つの頻繁に観察される側面です. 攻撃者は常にスクリプトを試しています, 学ぶ, そして彼らの間で彼らの経験を共有する.
PowerSploitやEmpireなどのPowerShellフレームワークにより、侵入テスターだけでなく、攻撃者も悪意のあるスクリプトをツールセットに簡単に組み込むことができます。.
Power-Shellを利用した攻撃の現在の状況をよりよく理解する, 研究者 分析 より多い 115,000 ランダムに選択された悪意のあるPowerShellコマンドライン 2018. これらのコマンドラインの多くは、MicrosoftOfficeドキュメントまたは自己増殖型ワームからのものであることに注意してください。.
研究者が最初に気づいたことの1つは、難読化技術の欠如でした.
PowerShell攻撃での難読化の使用の減少
それにもかかわらず、PowerShellに適した多くの難読化のトリックや、ユーザーのスクリプトを難読化できる完全に自動化されたツールがあります。, これらは野生ではめったに使用されません:
分析したPowerShellコマンドラインのわずか4%が、より低いものを組み合わせて使用して難読化しようとしました。- と大文字. そして、そうするものでさえ、しばしば貧弱なランダマイザーを備えたいくつかのツールキットによって自動生成されます.
何故ですか? 攻撃者は、PowerShellアクティビティがデフォルトで監視されていないという事実を認識している可能性が高いようです。.
監視しても, 難読化されていないコマンドラインの可能性は依然として高いです。隙間を気づかれずにすり抜ける」. 研究者が述べたように–「難読化が多すぎると、危険信号になる可能性があります。」. 攻撃者には別のオプションがあります。BASE64でエンコードされたBLOBをデプロイして、コマンドを非表示にすることです。, これは通常、必要なデコードの追加ステップにつながります, ペイロードが表示される前に. これは通常、さまざまなスクリプトによって実行されます, 良性のものでさえ.
悪意のあるPowerShellスクリプトが使用される理由について–リモートペイロードのダウンロードと実行は、このような攻撃の背後にある最大の目標のままです。.
ノートンライフロックの調査チームが分析したすべてのサンプルから, 17 HTTPまたはHTTPSを介して何かをダウンロードした割合. スクリプトはより堅牢になり、多くの場合、複数のURLを試します, ローカルプロキシ設定を使用する, または成功するために特定のユーザーエージェントを設定する, 研究者たちは結論を下した.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: