ファイルレス攻撃の話。PowerShell使ったりメモリ上で動いてファイルが残らないやつ

「Lurk」は、ファイルを利用せずに感染する手法を利用して、金融機関だけでなく IT関連企業や通信事業企業から金銭を窃取してきました。この「fileless」と呼ばれる「ファイルを利用しない」で感染させる手法は、不正なファイルを物理的にダウンロードしたりハードディスクへの書き込みをしたりせずに不正活動を実行する方法です。この手法を用いるマルウェアの例として挙げられるのが 2014年に確認された「POWELIKS（パウリクス）」です。このような侵入した痕跡を残さない手法が確認されて以降、他のマルウェア、例えば、ランサムウェアの拡散や POS（販売時点情報管理）システムの侵害などに利用されており、現在、特に目新しい手法ではありません。とはいえ、物理的な感染方法を利用しないということは、検出が困難になり、ユーザが気づかないうちに感染している可能性が発生します。そして、管理者権限を取得するなどして、攻撃者の必要に応じて、感染PC に潜伏することが可能となるため、企業や個人ユーザにとって深刻な脅威となります。
Lurkは、遅くとも 2012年当時で、金融機関を攻撃対象として痕跡を残さない手法を利用していました。典型的な感染の流れは、不正なiframe が挿入された改ざん Webサイト経由で不正コードを感染させます。この不正なiframe は、Webブラウザの脆弱性を利用して、「drive-by download（ドライブバイダウンロード）攻撃」で PCに感染させ、ロシアの大手 Webサイトが水飲み場型攻撃として利用されたこともありました。ファイルを利用しないマルウェアとして悪名高い「POWELIKS」との大きな違いは、１）感染後、メモリ上に攻撃コードを実行し、２）攻撃対象か否か確認する点です。また、POWELIKS がセキュリティ製品による検出回避を目的に不正コードを Windowsレジストリに上書きする一方、Lurk が利用する手法は、エクスプロイトコードを RAM内で実行し、攻撃対象かどうか感染PC 内を調査することです。そして、インストールされているソフトウェアやそれらのバージョンなどの情報を自身のコマンド＆コントロール（C&C）サーバに送信して、攻撃対象であるかどうか判断します。攻撃対象である場合、情報窃取するマルウェアをダウンロードさせ、攻撃対象でないと判断された場合、エクスプロイトコードの実行プロセスで作成されるファイル以外の自身の痕跡を抹消します。

痕跡を残さないサイバー犯罪集団「Lurk」の変遷：第1回 組織化とマルウェアの巧妙化 | トレンドマイクロ セキュリティブログ