memo

Misfox は、サイバー攻撃のキル チェーンにファイルレスの要素が組み込まれた実例です。攻撃者は、マルウェア インプラントのステルス性を高め検出を回避することを可能にする、複数のファイルレスの手法を使います。以下に例を挙げます。

反射型の DLL インジェクション

反射型の DLL インジェクションとは、悪意のある DLL がディスクに保存されることなく、プロセスのメモリへ手動で読み込まれるものです。悪意のある DLL は、攻撃者が制御するリモート マシンでホストされ、ステージングされたネットワーク チャネル (例えば、Transport Layer Security (TLS) プロトコルなど) を通じて配信されたり、難読化された状態でマクロやスクリプトなどの感染ベクターに埋め込まれたりする可能性があります。これが、実行可能なモジュールの読み込みを監視し記録する OS メカニズムの回避につながります。反射型の DLL インジェクションを悪用するマルウェアの例として、HackTool:Win32/Mikatz!dha (英語情報) が挙げられます。

メモリの悪用

攻撃者はファイルレスのメモリ エクスプロイトを悪用して、リモートから標的のマシン上で任意のコードを実行します。例えば、UIWIX (英語情報) の脅威は Petya と WannaCry も悪用した EternalBlue のエクスプロイトを利用し、DoublePulsar と呼ばれる、完全にカーネルのメモリ (SMB ディスパッチ テーブル) 内に生息するバックドアをインストールすることが確認されています。Petya や Wannacry とは異なり、UIWIX はディスク上にいかなるファイルもドロップしません。

スクリプトベースの手法

スクリプト言語は、メモリのみで実行可能なペイロードを供給するための強力な手法です。スクリプト ファイルはエンコードされたシェルコードやバイナリを埋め込んで、実行時にその場で復号化し、ディスクに書き込まれることなく .NET オブジェクト経由か API で直接実行することが可能です。スクリプト自体は (Misfox の場合と同様) レジストリに隠され、ディスクに触れることなくネットワーク ストリームから読み込まれたり、攻撃者がコマンドラインから手動で実行したりすることができます。

WMI での持続性

特定の攻撃者が Windows Management Instrumentation (WMI) レポジトリに悪意のあるスクリプトを格納し、WMI バインドを使って定期的に起動することを確認しています。この記事 (PDF、英語情報) では、その良い事例が紹介されています。

はい、これで見えますね: ファイルレス マルウェアをさらけ出す – 日本のセキュリティチーム