DNSクエリにPowerShellコマンドを乗せる攻撃とか・・・すごいな

3月4日(米国時間)、Threatpostに掲載された記事「New Fileless Attack Using DNS Queries to Carry Out PowerShell Commands｜Threatpost｜The first stop for security news」が、「DNSMessenger」と呼ばれるユニークな攻撃方法について伝えた。これはDNSクエリを使って攻撃を実施するためのPowerShellコマンドを対象のマシンに運び込むというもの。対象のシステムにトロイの木馬が仕込まれていることが検出されないように、このような仕組みが利用されていると説明がある。
この攻撃は、感染向けのPowerShellコマンドを含んだWordドキュメントをメールで相手に送信するところから始まる。相手が特定の自動処理機能を有効にしておくと、自動的にVisual Basic for Applicationsマクロが起動して初期のPowerShellコードが実行される。結果として、最終的にトロイの木馬を相手のマシンに感染させることになる。

DNSクエリにPowerShellコマンドを乗せて運ぶ攻撃を確認 | マイナビニュース