What is fileless maleware?

ファイルレス・マルウェア攻撃とは、システム・リソースを乗っ取ってホスト・システムを攻撃するサイバー攻撃の一種である。ファイルレス攻撃は、ターゲット・システムに新しいコードを導入するのではなく、既存のシステム・コードを再利用して書き換える。

ファイルレスマルウェア

ファイルレスマルウェア攻撃とは何か？

ファイルレスマルウェア攻撃は、システムリソースを乗っ取ってホストシステムを攻撃するサイバー攻撃の一種である。

従来のマルウェア攻撃では、攻撃者がターゲットのシステムに悪意のあるコードをインストールする必要があった。しかし、ファイルレス・マルウェアは新しいコードに依存しない。その代わり、攻撃者の目的に合うようにコードが再プログラムされる。

ファイルレスマルウェアは、従来のファイルベースの検知を回避できるため、特に脅威となっている。ファイルレスマルウェア攻撃の数は2018年に倍増し、その後も着実に増加している。

ファイルレスマルウェアの仕組み

攻撃者はウェブスクリプティングの脆弱性を悪用し、標的のシステムにリモートアクセスする。
攻撃者は、システム全体を素早く移動するための環境に対する認証情報を入手する。
攻撃者はその後、レジストリを変更してバックドアを作成し、検知されずに環境に戻り続ける。
攻撃者は、内蔵のシステム・ユーティリティを使って圧縮する前にデータを収集する。
攻撃者はFTPでデータをアップロードすることにより、環境からデータを削除する。

ファイルレスマルウェアの種類

Windowsレジストリの操作

Windows レジストリの操作には、悪意のあるリンクが含まれ、Windows の標準プロセスを使用して、ファイルなしのコード配信を書き込み、実行する。

メモリー・コード・インジェクション

メモリ・コード・インジェクションは、正規アプリのオペレーティング・メモリに悪意のあるコードを隠蔽する。マルウェアは分散され、通常のシステムプロセスが実行されているときにマシンに注入される。

スクリプト・ベースのテクニック

完全なファイルレスではないものの、スクリプトベースの技法は、ファイルレスのマルウェア攻撃技法と同じ戦略を使用しています。これらは、セミファイルレスマルウェア攻撃とも呼ばれています。

ファイルレスマルウェアを検出する方法

ファイルレス・マルウェアは、事実上検知できないことで悪名高い。しかし、セキュリティ・チームがファイルレス・マルウェアの攻撃から組織を守るには、主に2つの方法があります。

1.攻撃の兆候を探す

Indicators of Attack（IOA）とIndicators of Compromise（IOC）はサイバーセキュリティの洞察に役立ちますが、ファイルレス・マルウェア攻撃の検出にはIOAの方が効果的です。IOCは攻撃がどのように実行される可能性があるかというステップに焦点を当てますが、IOAは攻撃が現在進行中であるという兆候を探ります。

これらの兆候には、コードの実行、横方向の動き、その他の意図を隠しているように見える行動が含まれます。IOAを特定するソリューションは、コードの変更だけでなく、あらゆるタイプのマルウェアがデータを盗むために実行しなければならないイベントを探します。

2.マネージド脅威ハンティングの採用

脅威の発見には時間と労力がかかるが、ファイルレスのマルウェア攻撃を発見することは極めて重要である。特に、パンデミック以降、マルウェアやその他のサイバー脅威が増加している現代ではなおさらです。そのためには、膨大なデータの集約と正規化が必要であり、そのため多くの組織が、マネージド脅威ハンティング・サービスを提供するプロバイダーを選択しています。

管理体制の整った脅威ハンティング・サービスは、セキュリティ・チームが効果的な脅威ハンティング・ツールとサポートを利用し、攻撃の影響を軽減することで、ユーザが攻撃に備えることを支援します。マネージド脅威ハンティング・ツールは、導入後数週間で深い洞察とフォレンジックを可能にします。

CylancePROTECT ファイルレス攻撃を阻止

ファイルレスのマルウェア攻撃に対抗するには、従来のファイルベースの対策とは一線を画す必要があります。 CylancePROTECT^®は、メモリ防御、スクリプトとマクロの制御、Context Analysis Engine（CAE）を使用して、組織の安全を守ります。CylanceAIを活用した脅威の防御と対応ソリューションにより、脅威がどのように動作するかに関係なく、脅威から保護します^。

さらに詳しく

その他のリソース