「永続ファイルを持たないマルウェア」とは何か、そして無料ツールでそれを検出する方法

の外観 永続ファイルのないマルウェア これはセキュリティチームにとって大きな悩みの種でした。ディスクから実行ファイルを削除する際に「感染」するような典型的なウイルスではなく、メモリ内に潜み、正規のシステムツールを悪用し、多くの場合、フォレンジック調査で利用できる痕跡をほとんど残さない脅威に対処しているのです。

このタイプの攻撃は、高度なグループやサイバー犯罪者の間で特に人気が高まっています。 従来のウイルス対策ソフトウェアを回避し、データを盗み、隠れたまま 可能な限り長く。それらの仕組み、使用される技術、そしてそれらを検知する方法を理解することは、今日サイバーセキュリティを真剣に考えようとするあらゆる組織にとって重要です。

ファイルレス マルウェアとは何ですか? なぜそれほど懸念されるのですか?

私たちが話すとき ファイルレスマルウェア 1バイトも関係ないと言っているのではなく、悪意のあるコードが ディスク上に従来の実行ファイルとして保存されない エンドポイントからではなく、メモリ内で直接実行されるか、レジストリ、WMI、スケジュールされたタスクなどの目立たないコンテナでホストされます。

多くのシナリオでは、攻撃者はシステムにすでに存在するツール（PowerShell、WMI、スクリプト、署名されたWindowsバイナリなど）を利用して、 ペイロードをRAMに直接読み込み、復号化、または実行するこの方法により、シグネチャベースのウイルス対策が通常のスキャンで検出できる明らかな実行可能ファイルが残されることを回避できます。

さらに、攻撃チェーンの一部は「ファイルレス」で、他の部分はファイルシステムを使用する可能性があるため、複数の攻撃チェーンについて話していることになります。 ファイルレス技術のスペクトル 単一のマルウェアファミリーという定義ではありません。そのため、単一の閉じた定義はなく、マシンに及ぼす影響の程度に応じて複数のカテゴリに分類されます。

永続ファイルを持たないマルウェアの主な特徴

これらの脅威の重要な特性は、 メモリ中心の実行悪意のあるコードはRAMにロードされ、ハードドライブ上に安定した悪意のあるバイナリが存在することなく、正規のプロセス内で実行されます。場合によっては、より高度なカモフラージュのために、重要なシステムプロセスに挿入されることもあります。

もう XNUMX つの重要な機能は、 型破りな粘り強さ多くのファイルレス キャンペーンは完全に揮発性であり、再起動後に消えますが、その他のキャンペーンはレジストリ自動実行キー、WMI サブスクリプション、スケジュールされたタスク、または BITS を使用して再アクティブ化されるため、「目に見える」アーティファクトは最小限に抑えられ、実際のペイロードは毎回メモリ内に戻ります。

このアプローチは、 シグネチャベースの検出分析する固定の実行可能ファイルがないため、疑わしいパラメータで起動されたり難読化されたコンテンツが読み込まれたりした、完全に正当な PowerShell.exe、wscript.exe、または mshta.exe がよく見られます。

最後に、多くの俳優はファイルレス技術を他の技術と組み合わせています トロイの木馬、ランサムウェア、アドウェアなどのマルウェアの種類その結果、持続性とステルス性という両方の長所 (と短所) を組み合わせたハイブリッド キャンペーンが生まれます。

システムへの影響に応じたファイルレス脅威の種類

複数のセキュリティメーカー 彼らは「ファイルレス」脅威を、コンピュータ上に残す痕跡に基づいて分類しています。この分類は、私たちが目にしている脅威を理解し、どのように調査すべきかを理解するのに役立ちます。

タイプ I: 目に見えるファイルアクティビティなし

最もステルス性の高いマルウェアは ファイルシステムには全く何も書き込まないコードは、たとえば、脆弱性 (EternalBlue など) を悪用するネットワーク パケットを介して到達し、メモリに直接挿入され、たとえばカーネル内のバックドアとして維持されます (DoublePulsar は象徴的なケースです)。

他のシナリオでは、感染は BIOSファームウェア、ネットワークカード、USBデバイス、さらにはCPU内のサブシステムこのタイプの脅威は、オペレーティング システムの再インストール、ディスクのフォーマット、さらには完全な再起動を行っても存続する可能性があります。

問題は、ほとんどのセキュリティソリューションが ファームウェアやマイクロコードを検査しないたとえそうであったとしても、修復は複雑です。幸いなことに、これらの手法は通常、非常に高度な技術を持つ攻撃者向けであり、大規模攻撃では​​一般的ではありません。

タイプII: ファイルの間接使用

2番目のグループは ディスクに保存された構造に悪意のあるコードを含めるしかし、従来の実行可能ファイルとしてではなく、正当なデータと悪意のあるデータが混在するリポジトリでは、システムに損害を与えずにクリーンアップするのは困難です。

典型的な例としては、 WMIリポジトリ、難読化されたチェーン レジストリキー あるいは、悪意のあるバイナリが明確に存在しない危険なコマンドを実行するスケジュールされたタスク。マルウェアは、これらのエントリをコマンドラインまたはスクリプトから直接インストールし、実質的に目に見えない状態を維持できます。

技術的にはファイルが関係していますが（WindowsがWMIリポジトリまたはレジストリハイブを保存する物理ファイル）、実用的な目的のためにここで話しているのは ファイルレスアクティビティ 単純に隔離できる明らかな実行可能ファイルが存在しないためです。

タイプIII: ファイルが機能する必要がある

3つ目のタイプには、 ファイルは使用されますが、検出にはあまり役立ちません。よく知られている例としては Kovter があります。これはレジストリにランダムな拡張子を登録し、その拡張子を持つファイルを開くと、mshta.exe または同様のネイティブ バイナリを介してスクリプトが実行されるようにします。

これらのおとりファイルには無関係なデータが含まれており、実際の悪意のあるコードは 他のレジストリキーから取得されます または内部リポジトリ。ディスク上に「何か」が存在するとしても、それを信頼できる侵害指標として使用することは容易ではなく、ましてや直接的なクリーンアップメカニズムとして使用することは困難です。

最も一般的な侵入経路と感染ポイント

フットプリントの分類を超えて、どのように ここで、永続的なファイルを持たないマルウェアが登場します。 日常生活では、攻撃者は環境やターゲットに応じて複数のベクトルを組み合わせることがよくあります。

エクスプロイトと脆弱性

最も直接的な方法の一つは、 リモートコード実行（RCE）の脆弱性 ブラウザ、プラグイン（昔のFlashなど）、Webアプリケーション、またはネットワークサービス（SMB、RDPなど）に侵入し、悪意のあるペイロードをメモリに直接ダウンロードまたはデコードするシェルコードを挿入します。

このモデルでは、最初のファイルはネットワーク上にある（エクスプロイトタイプ） WannaCryまたはユーザーが開いた文書では、 ペイロードは実行ファイルとしてディスクに書き込まれることはありません: RAM から即座に復号化され実行されます。

悪意のある文書とマクロ

もう一つのよく利用される手段は マクロまたはDDEを含むOfficeドキュメントまた、リーダーの脆弱性を悪用するように設計されたPDFファイルも存在します。一見無害なWordファイルやExcelファイルにも、PowerShell、WMI、その他のインタープリターを起動してコードをダウンロードしたり、コマンドを実行したり、信頼できるプロセスにシェルコードを挿入したりするVBAコードが含まれている可能性があります。

ここでディスク上のファイルは「単なる」データコンテナであり、実際のベクトルは アプリケーションの内部スクリプトエンジン実際、多くの大量スパム攻撃では、この戦術を悪用して企業ネットワークにファイルレス攻撃を展開しています。

正当なスクリプトとバイナリ（土地から生きる）

攻撃者は、Windows がすでに提供している次のようなツールを好みます。 PowerShell、wscript、cscript、mshta、rundll32、regsvr32Windows Management Instrumentation、BITS など。これらの署名済みで信頼されたバイナリは、疑わしい「virus.exe」を必要とせずに、スクリプト、DLL、またはリモート コンテンツを実行できます。

悪意のあるコードを渡すことで コマンドラインパラメータこれを画像に埋め込んだり、メモリ内で暗号化およびデコードしたり、レジストリに保存したりすることで、ウイルス対策ソフトは正当なプロセスからのアクティビティのみを認識するようになり、ファイルのみに基づいた検出がはるかに困難になります。

侵害されたハードウェアとファームウェア

さらに低いレベルでは、高度な攻撃者が侵入できる BIOSファームウェア、ネットワークカード、ハードドライブ、さらにはCPU管理サブシステム （Intel MEやAMTなど）。このタイプのマルウェアはオペレーティングシステムの下で実行され、OSが認識することなくトラフィックを傍受または変更する可能性があります。

これは極端なシナリオですが、ファイルレスの脅威が OSファイルシステムに触れることなく永続性を維持するそして、なぜ従来のエンドポイント ツールがこのような場合に不十分なのかを説明します。

永続ファイルを使用しないマルウェア攻撃の仕組み

フローレベルでは、ファイルレス攻撃はファイルベースの攻撃と非常に似ていますが、 関連する違い ペイロードがどのように実装され、アクセスがどのように維持されるか。

1. システムへの初期アクセス

すべては攻撃者が最初の足場を獲得したときに始まります。 悪意のあるリンクや添付ファイルを含むフィッシングメール脆弱なアプリケーションに対するエクスプロイト、RDP または VPN の盗まれた資格情報、さらには改ざんされた USB デバイスなどです。

このフェーズでは、次のものが使用されます。 ソーシャルエンジニアリング悪意のあるリダイレクト、マルバタイジング キャンペーン、または悪意のある Wi-Fi 攻撃によって、ユーザーを騙して不適切な場所をクリックさせたり、インターネット上で公開されているサービスを悪用したりします。

2. メモリ内での悪意のあるコードの実行

最初のエントリが取得されると、ファイルレスコンポーネントが起動されます。OfficeマクロがPowerShellを起動し、エクスプロイトがシェルコードを挿入し、WMIサブスクリプションがスクリプトを起動するなどです。目標は 悪意のあるコードを直接RAMにロードするインターネットからダウンロードするか、埋め込まれたデータから再構築することによって行われます。

そこからマルウェアは 権限の昇格、横方向の移動、資格情報の盗難、Webシェルの展開、RATのインストール、データの暗号化これらすべては、ノイズを削減するための正当なプロセスによってサポートされています。

3. 持続性の確立

通常の技術の中には 次のとおりです。

• 自動実行キー ログイン時にコマンドまたはスクリプトを実行するレジストリ内のファイル。
• スケジュールされたタスク スクリプト、パラメータ付きの正規のバイナリ、またはリモート コマンドを起動します。
• WMIサブスクリプション 特定のシステム イベントが発生したときにコードをトリガーします。
• BITSの使用 コマンド アンド コントロール サーバーからのペイロードの定期的なダウンロード用。

場合によっては、持続的なコンポーネントは最小限であり、 マルウェアをメモリに再注入する システムが起動するたび、または特定の条件が満たされるたびに。

4. ターゲットへのアクションとデータの流出

攻撃者は、持続性を確保しながら、自分が本当に興味を持っていることに焦点を当てます。 情報を盗み、暗号化し、システムを操作し、数ヶ月にわたってスパイ活動を行う情報流出はHTTPS、DNS、秘密チャネル、あるいは正規のサービスを介して行われる可能性があります。現実のインシデントでは、 ハッキング後の最初の24時間以内にすべきこと 違いを生むことができます。

APT攻撃では、マルウェアが 長時間にわたり静かでステルス性を保つインフラストラクチャの一部が検出され、クリアされた場合でもアクセスを確保するために、追加のバックドアを構築します。

ファイルレスマルウェアの機能と種類

古典的なマルウェアが実行できる悪意のある機能のほとんどすべては、このアプローチに従うことで実装できます。 ファイルレスまたはセミファイルレス変わるのは目的ではなく、コードが展開される方法です。

メモリ内にのみ存在するマルウェア

このカテゴリには、 これらはプロセスまたはカーネルのメモリ内にのみ存在します。最新のルートキット、高度なバックドア、またはスパイウェアは、正当なプロセスのメモリ領域に読み込まれ、システムが再起動されるまでそこに残る可能性があります。

これらのコンポーネントはディスク指向のツールでは特に確認が難しく、 ライブメモリ分析リアルタイム検査や高度なフォレンジック機能を備えた EDR。

Windowsレジストリベースのマルウェア

もう一つの繰り返しのテクニックは、 レジストリキー内の暗号化または難読化されたコード 正当なバイナリ (PowerShell、MSHTA、rundll32 など) を使用して、メモリ内で読み取り、デコードし、実行します。

最初のドロッパーはレジストリに書き込んだ後に自己破壊するため、残るのは一見無害なデータの混合物だけである。 システムが起動するたびに脅威が起動する または特定のファイルが開かれるたびに実行されます。

ランサムウェアとファイルレストロイの木馬

ファイルレスアプローチは、次のような非常に積極的なロード方法と互換性がありません。 ランサムウェアランサムウェアの実行ファイルをディスク上に残さずに、PowerShell または WMI を使用してメモリ内で暗号化全体をダウンロード、復号化し、実行するキャンペーンがあります。

同様に、 リモートアクセス型トロイの木馬（RAT）キーロガーや資格情報窃盗犯は、セミファイルレス方式で動作し、要求に応じてモジュールをロードし、正当なシステムプロセスでメインロジックをホストします。

エクスプロイトキットと盗まれた認証情報

ウェブエクスプロイトキットは、インストールされたソフトウェアを検出し、 適切なエクスプロイトを選択し、ペイロードを直接メモリに挿入します。多くの場合、ディスクに何も保存されません。

一方、の使用 盗まれた資格情報 これは、ファイルレス技術に非常に適したベクトルです。攻撃者は正当なユーザーとして認証し、そこからネイティブの管理ツール (PowerShell Remoting、WMI、PsExec) を悪用して、マルウェアの典型的な痕跡を残さないスクリプトとコマンドを展開します。

ファイルレス マルウェアの検出はなぜ難しいのでしょうか?

根本的な理由は、この種の脅威は特に 従来の防御層を回避する署名、ホワイトリスト、定期的なファイルスキャンに基づいています。

悪意のあるコードがディスク上に実行ファイルとして保存されていない場合、またはWMI、レジストリ、ファームウェアなどの混合コンテナに隠れている場合、従来のウイルス対策ソフトウェアでは分析できるものがほとんどありません。「疑わしいファイル」の代わりに、 異常な動作をする正当なプロセス.

さらに、PowerShell、Office マクロ、WMI などのツールを徹底的にブロックします。 多くの組織では実行不可能であるこれらは管理、自動化、そして日常業務に不可欠であるため、アドボケートは非常に慎重に行動する必要があります。

一部のベンダーは、簡単な修正（一般的なPowerShellのブロック、マクロの完全な無効化、クラウドのみの検出など）で補おうとしましたが、これらの対策は通常 不十分または過度に混乱を招く ビジネス用。

ファイルレスマルウェアを検出し阻止するための最新戦略

これらの脅威に対抗するには、単にファイルをスキャンするだけでなく、集中的なアプローチを採用する必要があります。 行動、リアルタイムテレメトリ、そして深い可視性 最後のポイントです。

行動と記憶の監視

効果的なアプローチには、プロセスが実際に何を行うかを観察することが含まれます。 どのようなコマンドを実行し、どのようなリソースにアクセスし、どのような接続を確立するかマルウェアの亜種は数千種類存在しますが、悪意のある行動パターンははるかに限定されています。これは、 YARAによる高度な検出.

最新のソリューションでは、このテレメトリをメモリ内分析、高度なヒューリスティック、 自動学習 コードが高度に難読化されていたり、これまでに見たことのないコードであったりする場合でも、攻撃チェーンを識別できます。

AMSIやETWなどのシステムインターフェースの使用

Windowsは次のような技術を提供しています ウイルス対策スキャンインターフェイス（AMSI） y Windows イベント トレーシング (ETW) これらのソースを利用することで、システムスクリプトやイベントを非常に低レベルで検査することが可能になります。これらのソースをセキュリティソリューションに統合することで、検出が容易になります。 実行直前または実行中の悪意のあるコード.

さらに、スケジュールされたタスク、WMIサブスクリプション、ブートレジストリキーなどの重要な領域を分析することで、 秘密のファイルレス持続性 単純なファイルスキャンでは気付かれない可能性があります。

脅威ハンティングと攻撃の兆候（IoA）

従来の指標（ハッシュ、ファイルパス）では不十分なので、 攻撃の兆候（IoA）は、既知の戦術に合致する疑わしい行動や一連の行動を説明しています。

脅威ハンティングチーム（社内またはマネージドサービス経由）は、積極的に検索することができます。 横方向の移動パターン、ネイティブツールの悪用、PowerShellの使用における異常 または機密データへの不正アクセスを防止し、災害を引き起こす前にファイルレスの脅威を検出します。

EDR、XDR、SOC 24時間7日

現代のプラットフォーム EDRとXDR (拡張レベルでのエンドポイント検出と対応) は、最初のフィッシング メールから最終的な流出まで、インシデントの完全な履歴を再構築するために必要な可視性と相関関係を提供します。

と組み合わせて 24時間7日稼働のSOC検出だけでなく、 自動的に封じ込めて修復する 悪意のあるアクティビティ: コンピューターを隔離し、プロセスをブロックし、レジストリへの変更を元に戻し、可能な場合は暗号化を元に戻します。

ファイルレスマルウェアの技術は状況を一変させました。ウイルス対策スキャンを実行し、疑わしい実行ファイルを削除するだけではもはや不十分です。今日の防御には、攻撃者がメモリ、レジストリ、WMI、またはファームウェアにコードを隠蔽することで脆弱性を悪用する方法を理解し、行動監視、インメモリ分析、EDR/XDR、脅威ハンティング、そしてベストプラクティスを組み合わせて展開することが不可欠です。 影響を現実的に軽減する 従来の解決策では痕跡を残さないよう意図的に設計された攻撃には、包括的かつ継続的な戦略が必要です。侵害が発生した場合、 深刻なウイルス感染後のWindowsの修復 不可欠です。