従来からのマルウェアの攻撃手法は、マルウェア本体である細工が施された実行ファイルに依存していました。一方、近年増加している「ファイルレス活動」を実行するマルウェアは、感染システムのメモリ内に常駐することで、ファイルを検索対象とした従来型スキャン機能や検出方法を回避します。Windowsの標準機能である「PowerShell」は通常、システム管理の目的で利用されます。しかし同時に、Windows向けのマルウェアを作成する攻撃者にとっても、ファイルレス活動などの実現に利用できる好都合な機能となっている実態があります。トレンドマイクロでは、ファイルレス活動に関する複数のレポートを公開し、上記の事実を検証してまいりました。本記事ではWindowsの標準機能であるPowerShellを悪用する攻撃者側の手法とその対策についてまとめます。
続きを読む最新のセキュリティ対策は、先進のAI(人工知能)や機械学習などの脅威防御技術を融合することで、マルウェアやその他の脅威の特定および防御機能を向上させる一方、サイバー攻撃者は常に、これらの対策技術による検出を回避するための技術を生み出しています。その中で最も巧妙な回避手法の1つが「ファイルレス活動」です。ファイルレス活動ではシステム内に侵入する際、実行可能なマルウェア本体をファイルとして保存しません。システム内に標準搭載されるWindows正規ツールを悪用して攻撃を開始し、実行可能ファイルに依存せずに攻撃を持続化させます。
トレンドマイクロの2019年年間セキュリティラウンドアップでは、一般に蔓延するファイルレスの脅威の最新情勢について報告しました。トレンドマイクロでは、事後対処を行うEndpoint Detection and Response(EDR)などの技術を通じてファイルレス活動の痕跡を追った結果、過去1年間で140万件を超えるファイルレス活動関連の検出を確認しました。ファイルレス活動によって可能になる活動のステルス性や持続性を考えると、この検出動向は予測されていたものと言えます。また攻撃の際に、ファイルレス活動のためのコンポーネントや技術の使用が確認された数多くのマルウェアの拡散活動の事例を踏まえると、ファイルレス活動が増加傾向にあるのは明らかでした。
続きを読む
