ファイルレス・マルウェアは光学迷彩:隠れ家をロジカルにあぶり出せ

New Malware Uses Novel Fileless Technique to Evade Detection

2021/09/03 DarkReading — FireEye の Mandiant Advanced Practices チームは、新しいメモリ常駐型のマルウェア・ファミリーとインストーラを発見した。この、FireEye のチームは、このマルウェアを PRIVATELOG と、インストーラを STASHLOG と命名しましたが、顧客のネットワーク上では確認したことはなく、マルウェアが起動した結果である、第2段のペイロードも回収していないとしている。

FireEye によると、このマルウェアは、感染したシステムのメモリ内に常駐し、検出されないようにするために、新しい技術を用いる点が注目されている。このファイルレス型 (メモリ常駐型) のマルウェアは、ペイロードをディスクに書き込む、従来からのマルウェアとは異なる。そして、メモリ上での実行のみが捕捉されるため、アンチウイルス・ツールでは検知が難しくなっている。

Mandiant FLARE チームの Senior Reverse Engineer である Blaine Stancill は、「これらのファイル・レス技術は、従来の意味でのディスクへの書き込みではなく、Windows レジストリなどのストレージ・コンテナを利用して、ペイロードを格納している」と述べている。このストレージ・コンテナは、さまざまな Windows API を介してアクセスできるため、企業にとって使いやすいものだが、文書化されていない構造が普通に使用されるため、防御側の視点での分析は難しいとされる。

通常、ファイルレス・マルウェアの保存場所としては、Windows Registry / Windows Management Instrumentation (WMI) / Common Information Model (CIM) リポジトリなどが好ましいとされている。しかし、STASHLOG と PRIVATELOG は、CLFS ログコンテナと呼ばれるものを用いて、悪意のペイロードを保存している点が異なると、Stancill は指摘している。

CLFS (Common Log File System) とは、Windows がレジストリ処理などの大容量処理を行う際に、データを一時的に保存するためのコンテナである。Stancill は、「STASHLOG は、利用可能な CLFS コンテナを選択した後に CLFS API を用いて、Windows と同じ方法でデータを挿入する」と述べている。つまり、システム上に新たなファイルを作成することなく、ペイロードを保存することが可能になる。

STASHLOG と PRIVATELOG は、悪意のペイロードを格納する場所として、CLFS を使用した初めてのマルウェア・サンプルであり、本質的に新しいファイルレス技術だと言える。Mandiant の Senior Principal Researcher である Matthew Dunwoody は、この新しい手法について、「ファイルレス・マルウェア保存のバリエーションを増やすという点で重要だ」と述べている。

そして、「防御側が、この手法に気づかないと、隠れたデータの非効率な発見や、不十分な対策などにつながる可能性がある。また、これらの技術は、保存場所がスキャンされないことや、保存方法によってはデータ・フォーマットが変更されることもあるため、ウイルス対策ツールによるスキャンが複雑になる可能性がある」と指摘している。

増加するメモリ常駐型マルウェア

最近では、大半の攻撃者が使用するツールキットにおいて、ファイルレス・マルウェア・ツールが標準的な構成要素となっている。ウイルス対策ツールやマルウェア検出ツールの性能が向上し、ディスク上のマルウェアの検出が容易になったことで、それを避ける悪意の行為は、メモリ常駐型のツールを用いて実行されている。

今年初めに Watchguard Technologies が発表した、エンドポイント脅威インテリジェンスのデータ分析レポートによると、2019年から2020年にかけて、エンド・ポイント攻撃におけるファイルレス・マルウェアの使用は、900% 増という驚異的な値を示している。この調査では、Cobalt Strike や PowerSploit などのツールキットを使用する攻撃者が、実行中のプロセスに悪意のコードを注入し、元のスクリプトが特定/削除されたとしても、悪意の操作が可能な状態を維持していることが分かった。

ネットワークのリスクを軽減するために、一般的に推奨される事柄は、ファイルレス・マルウェアにも当てはまると、Matthew Dunwoody は述べている。そこには、脆弱性を軽減するためのパッチ適用、および、テクノロジーによるフィッシング・リスクの管理だけではなく、悪意の活動の証拠を見極めるための、従業員に対する教育や、監視システムの導入が含まれる。そして、「PRIVATELOG/STASHLOG マルウェア、および、CLFS の使用を特定するための、推奨事項と検出ルールを提供している」と、Dunwoody は付け加えている。

5月にポストした「Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは?」が、ファイルレスという概念に触れていました。そのときは、ファイルレスの仕組みがイメージできず、スッキリしない気持ちを引きずってきました。でも、この記事を訳して、ナルホドと思えるところが随分とありました。そこに居るけど、姿は見えないという、光学迷彩みたいなものですね。少佐の目で、隠れ家を暴いていきましょう。攻殻機動隊みたいに 🙂

LockFile ランサムウェアは間欠的暗号化で防御ラインを突破する
ニューラル・ネットワークに埋め込まれたマルウェアは検出を回避する

%d bloggers like this: