ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. Techコラム
ここから本文です。

Techコラム

ファイルレスマルウェア、攻撃者の真の狙いとは!?

3.マルウェアにおける永続化メソッドの特徴

不正なメールなどを介してターゲットのコンピュータに侵入が成功すると、リモートの攻撃者は永続してバックドアなどが使えるように、下記のような不正操作を行います。

  • Windowsレジストリの改変
    rundll.exe と不正なjavascriptを使用してペイロードを実行するコマンドを登録
    コードは難読化してレジストリエディタやAutorunsなどで容易に発見されないようにする
  • sc.exeを使用して不正な Powershellコマンドを実行するサービスを登録
  • 攻撃者が作成した特定のファイル拡張子のファイルが実行されるようにレジストリを変更
  • regsrvコマンドを使用した難読化された不正なjavascriptを実行するコマンドをレジストリに登録
    →別のペイロードを実行するPowershellを実行
  • Windows Management Instrumentation(WMI)
    特定のイベントフィルタを作成し、イベント発生を契機に不正なスクリプトを実行
  • グループポリシーオブジェクト(Group Policy Object: GPO)
    PowerShellを使用してレジストリ実行キー作成などが可能
    (PowerShell Empireは、既存のGPOを変更する機能や新規のGPOを作成する機能を搭載)
  • スケジュールタスク
    schtasksコマンドにより特定のタイミングでコマンドを実行するタスクを登録
  • 既存ファイルへの感染
    ディスク上の既存ファイルに不正なコードを追記してファイルを改ざん
    スタートアップフォルダ内のファイルやロードされているファイルを置換
    PowerShellプロファイルの書き換え

4.よりセキュアな運用を

前述のようにさまざまな攻撃手法が存在するため、運用に影響を与えない範囲でセキュリティホールとなる部分をできる限り塞ぐ必要があります。Windowsクライアント環境のセキュリティ強化策としては、以下の方法が考えられます。

WSH(Windows Script Host)を制限

ショートカットファイル(.lnk)に不正なVBScript(.vbs)を埋め込んだメールによる攻撃手法がありますが、ホスト上でVBScriptやJScriptを使用しない場合、WSHを無効化することにより当該攻撃の影響を緩和できます。

HTA(HTMLアプリケーション)を制限

HTA(.hta)はHTMLで記述されたアプリケーションで、HTML、VBScript、JScriptで任意のコードが記述できます。不正なコードを記述した.htaファイルをメールに添付して送信し、ユーザが開くと感染するマルウェアが存在します。これは10年以上前から存在する攻撃手法で、対処するためにはmshta.exeをAppLockerなどで制限する方法があります。グループポリシーエディターで.htaの関連付けを外せますが、mshta.exeをショートカットアイコン経由で呼び出された場合は回避されるので、ご注意ください。

rundll32.exe、regsvr32.exeの外部通信を制限

rundll32.exe、regsvr32.exeは、VBScript(.vbs)やJscript(.js)ファイルを、リモートのホストからhttp経由で取得し実行できます。通常のWindowsの処理で使われていますが、この機能を使うマルウェアが存在します。実行そのものは禁止できないため、Windowsのパーソナルファイアウォールで外部との通信を制限することが推奨されます。

パーソナルファイアウォール

Powershellが実行する外部向け通信をブロックする方法があります。ただし、PowerShell.exeがリネームして実行された場合は回避されてしまう点にご注意ください。

AppLocker

AppLocker を利用すると、Active Directoryで指定したアプリケーションだけを Windows PCで動かすことができます。使用するファイルが限定されている場合、ホワイトリスト方式で使用するファイル形式(.ps1)やフォルダに制限が掛けられます。ただし、ショートカットアイコン(.lnk)やスクリーンファイル(.scr)は対象外なのでご注意ください。

Sysmonによるイベントログ出力

Sysmonは、Windowsのイベントログにシステムアクティビティを監視して記録するシステムサービスおよびデバイスドライバです。プロセスの作成、ネットワーク接続、ファイル作成時間などの情報を記録します。詳細については、下記をご参照ください。

PowerShellをアンインストール

PowerShellを使用していない環境にもかかわらず、デフォルトでインストールされたままになっている企業や組織があります。使用しない場合は、アンインストールが強く推奨されます。

~PowerShellがアンインストールできない場合~

Windows OSのバージョンにより、以下のPowerShellのバージョンが存在します。

OS別 PowerShellバージョン一覧

PowerShellをアンインストールしない場合は、バージョンのアップグレードが推奨されます。
Windows 7の場合、デフォルトのPowerShellではイベントログが記録されないため、PowerShell バージョン 5 以上にアップグレードする必要があります。アップグレード後、PowerShellのロギング機能をローカルグループポリシーで有効化すると、例えば外部から特定のファイルがダウンロードされた場合、以下のように記録されます。

PowerShell

Windows 8.1の環境では、PowerShell v4.0のグループポリシーのログ記録設定を「有効」にします。

PowerShell v4.0

アップグレードのシステム要件などについては、下記をご参照ください。

PowerShellを悪用した攻撃手法が、一般化しつつあります。海外では、RATやバックドアなどのトロイの木馬以外に、ランサムウェアの感染でも使用され始めています。攻撃者は、できる限り使用するファイルを制限し、痕跡を残さず目的を遂行しようとします。そのため、ターゲットのコンピュータに既に存在する管理ツールなどを巧みに利用する傾向にあります。被害に遭った場合を想定し、管理者権限の分離、ネットワークの分離なども含め、運用設定の見直しをご検討ください。

ページの先頭へ戻る