Fileless attacks increase 1,400%
2023/07/04 HelpNetSecurity — Aqua Security が6ヶ月間のハニーポットデータを集計したところ、攻撃の 50%以上が防御回避にフォーカスしていたことが判明した。これらの攻撃には、”/tmp” から実行されるファイルなどによるマスカレード技術や、コードの動的なロード、難読化されたファイルなどが含まれていた。さらに、攻撃の 5%では、脅威アクターがメモリ常駐型のマルウェアを使用していた。2022年の Aqua Nautilus の事前調査と比較すると、この種のファイルレス攻撃は 1,400%増加している。つまり、脅威アクターが侵害されたシステム上で検知を回避し、より強固な足場を築く方法に重点を置くようになっていることが示されている。
検知を回避する脅威アクターたち
Aqua Nautilus の Lead Threat Intelligence Researcher である Assaf Morag は、「脅威アクターたちは、エージェントレス・ソリューションに重点を置き、その回避技術はますます巧妙になっている。その最も説得力のある証拠が、1,200台以上のサーバを危険にさらした、非常に巧妙でステルス性の高い、Redis ベース・マルウェアである HeadCrab の発見だ。ランタイム・セキュリティに関しては、ボリュームベースのスキャン技術を回避するように設計された、この種の攻撃を検出できるのは、エージェントベースのスキャンだけである」と述べている。
クラウド・コンピューティングは、組織がアプリケーションを設計/開発/導入/管理する方法に革命をもたらした。しかし、この最新のアプローチは、スケーラビリティ/柔軟性/俊敏性など大きなメリットをもたらす一方で、固有の複雑さも伴う。クラウド・ネイティブ・アーキテクチャへの移行に伴い、攻撃対象が大幅に拡大し、対処すべき新たなセキュリティ・リスクが発生している。
ランタイム環境における悪意のアクションの特定
ランタイム環境を保護するためには、少なくとも、既知の悪意のファイルやネットワーク通信をスキャンし、それらが出現したときにブロックして警告を発するといった、監視のアプローチが必要だ。しかし、これではまだ不十分だ。
それ以上のソリューションとしては、悪意の動作を示唆するインジケータやマーカーの監視も含まれる。それにより対処されるのは、機密データへの不正アクセスの試み/特権を昇格させながらプロセスを隠す試み/未知の IP アドレスへのバックドアのオープンなどの動作である。
結局のところ、データとアプリケーションの安全性を確保し、攻撃に対する脆弱性を抑制するためには、ランタイム環境に堅牢な保護対策を導入することが極めて重要となる。
また Aqua Security のレポートでは、ソフトウェアのサプライチェーン・リスクに関する Nautilus の調査も紹介されている。同レポートでは、クラウド・ソフトウェアのサプライチェーンにおいて、侵害が生じる可能性があり、組織にとって重大な脅威となり得る各種の領域が示されている。
具体的なユースケースの1つとして、Nautilus はソフトウェア・サプライ・チェーンにおけるミスコンフィグレーションの影響と、それが生み出す重大な脅威を示している。あらゆる規模の企業が、ミスコンフィグレーションのリスクにさらされており、些細な設定ミスであっても、深刻な影響を及ぼす可能性があるため、このユースケースは極めて有意義な情報となるだろう。
この記事のタイトルだけを見ると、ファイルレス・マルウェアに焦点が当たってしまいますが、Aqua Security の A Comprehensive Cloud Native Threat Report は、クラウド上の脅威全般にフーカスするものです。よろしければ、ダウンロードして、ご参照ください。同じく 7月4日のポストである、「SaaS ポートフォリオ合理化の必要性:企業内の SaaS アプリの 51%がシャドー IT」も SaaS の状況を示す Productiv のレポートがベースの記事でした。SaaS の適切な利用という切り口の記事が、同日に2本もありました。
IoT OT Security News 
You must be logged in to post a comment.