ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

ファイルレスマルウェア、攻撃者の真の狙いとは!?

ファイルを介さない「ファイルレスマルウェア」の脅威が、よくメディアに取り上げられるようになりました。厳密に定義されているわけではありませんが、例えば2001年の「Code Red」や2003年の「SQL Slammer」など、最近では、IoTマルウェアの「Mirai」やNSA(米国国家安全保障局)から流出したバックドアの「DoublePulsar」も、ファイルを介した攻撃を行いません。本レポートでは、現在増加しているWindowsのPowerShellスクリプトを使った「ファイルレスマルウェア」について考察します。

1.「EternalBlue」とぺネトレーションツール

2017年5月に世界規模で発生した「WannaCry」による攻撃は、NSA(米国国家安全保障局)から流出したツールが関与したと言われています。「Shadow Brokers」を名乗るグループがNSAからさまざまなツールを盗み出したとされますが、その中でもSMBバージョン1.0の脆弱性を悪用する「EternalBlue」とこれによって送り込まれるバックドアの「DoublePulsar」は、「WannaCry」の事件以降も、他の攻撃で悪用されています。「Eternalblue」は、約50種の脆弱性を検証する「Fuzzbunch」の一部ですが、未だに当該脆弱性が修正されていないデバイスが多数存在するため、攻撃の最初の切り口として使われています。

拡大する「Eternalblue」の起動時イメージ

「Fuzzbunch」以外に、さまざまなペネトレーション・テストツール(Empire、PowerSploit、Responder、Cobalt Strike、Nishangなど)が公開されています。これらのツールの中で、最近悪用されているのは、「Empire」や「PowerSploit」などです。ツールは、さまざまなPowershellスクリプトが容易に使えるため、攻撃者に利用される可能性があります。

PowerSploitを介した攻撃概要

2.PowerShellなどを使った攻撃の特徴

前述のペネトレーション・テストツールは、主に内部侵入後に使われます。攻撃対象のシステムに実装されているWindowsのWMIや、PowerShellをリモートから悪用し攻撃で使うファイルを最小限に抑えます。

2017年2月のJPCERT/CCの報告(注1)では、ショートカットファイルとPowerShellを悪用した、マルウェア感染が起きています。ユーザがメールに添付された不正なショートカットアイコンを開くと、PowerShellスクリプトを含むファイルが外部からダウンロードされ、実行されます。その後、PowerShellスクリプト内に含まれるマルウェアの「ChChes」が、powershell.exeにインジェクションされて実行されます。

2017年8月に公開された事例(注2)では、外部ストレージサービスからダウンロードされたZipファイル内に2つのファイルが同梱され、ユーザがどちらのファイルを開いても感染する仕組みになっていました。

二重拡張子の.lnkファイル

RTFファイル(○○○○○○.rtf)※CVE-2017-0199の脆弱性は海外でも頻繁にマルウェア感染で悪用されていますが、2017年4月に公開された当該脆弱性を修正するセキュリティパッチを適切に適用していれば、侵害されるリスクは非常に低くなります。

RTFファイル(○○○○○○.rtf)PowerShellを使った攻撃の一例

PowerShellを使った攻撃については、以下の特徴があります。

PowerShellを使った攻撃の特徴

ページの先頭へ戻る