ファイルレス マルウェアは、サイバー犯罪者が気付かれずにシステムに侵入する一般的な方法です。 非マルウェア、ゼロフットプリント、またはマクロ攻撃とも呼ばれ、被害者のコンピューターに感染するために悪意のあるソフトウェアをインストールする必要がないという点で、従来のマルウェアとは異なります。
代わりに、デバイスの既存の脆弱性を悪用します。マルウェアはコンピューターの RAM に巣を作り、一般的なシステム ツールを使用して、通常は安全で信頼できるプロセス ( javaw.exe や iexplore.exe など) に悪意のあるコードを挿入します。
攻撃手法とファイルレス マルウェアの仕組み
サイバー犯罪者がファイルレス マルウェア攻撃を開始するために使用できる手法は多数あります。 たとえば、悪意のあるバナー広告による、いわゆる「マルバタイジング」です。 ユーザーが広告をクリックすると、正規のように見えて Flash をロードする悪意のある Web サイトにリダイレクトされますが、これには残念ながら脆弱性があります。 Flash は Windows PowerShell ツールを使用して、RAM で実行中にコマンド ラインからコマンドを実行します。 次に、PowerShell は、ボットネットまたは侵害された他のサーバーから悪意のあるコードをダウンロードして実行します。その後、コードは攻撃者に送信するデータを探します。
ファイルレス マルウェアはファイルのダウンロードを必要としないため、検出、ブロック、削除が非常に困難です。 従来のウイルス対策プログラムで検出できる識別可能なコードや署名はありません。 また、特定の動作がないため、ヒューリスティック スキャナーでは検出できません。 さらに、マルウェアは既にシステム上にある承認済みアプリケーションの脆弱性を悪用するため、承認済みアプリケーションのみがコンピューターにインストールされるようにするプロセスであるアプリケーション ホワイトリストによって提供される保護を無効にすることもできます。
ファイルレス マルウェアの兆候
ただし、コンピューターを再起動すると、ファイルレス マルウェアのセキュリティ侵害を防ぐことができます。 これは、コンピュータの電源が入っているときにのみ RAM がデータを保持するためです。 シャットダウンすると、感染はアクティブではなくなります。 ただし、攻撃者は依然としてこの脆弱性を利用してコンピュータからデータを盗んだり、他の形態のマルウェアをインストールして脆弱性に持続性を追加したりすることができます。 たとえば、ハッカーは、システムの再起動時にスクリプトを実行して攻撃を継続するように設定できます。
新しいファイルがインストールされたり、ファイルレス マルウェア攻撃を明らかにする典型的な特徴的な動作はありませんが、注意すべき警告サインがいくつかあります。 その XNUMX つは、コンピューターがボットネット サーバーに接続しているなど、通常とは異なるネットワーク パターンとトレースです。 システム メモリ内のセキュリティ侵害の兆候や、悪意のあるコードが残した可能性のあるその他のアーティファクトを探す必要があります。
ファイルレス マルウェア保護のベスト プラクティス
ファイルレス マルウェアの感染を回避するため、または感染した場合の被害を最小限に抑えるために、企業が実行できるいくつかの手順を次に示します。
- 不要な機能やアプリケーションがない: 使用されていないサービスやプログラム機能は無効にする必要があります。 さらに、企業は、使用されていない、または業務に不要なアプリケーションをアンインストールする必要があります。
- 特権の節約: 組織は、管理者ユーザーの特権を制限し、仕事を遂行するために必要な数のアクセス許可のみをユーザーに付与する必要があります。
- 定期的なソフトウェア更新: すべてのソフトウェアは常に最新の状態であり、定期的に更新する必要があります。
- ネットワーク トラフィックの監視: ネットワーク トラフィックを監視し、アクティビティ ログで異常をチェックする必要があります。
- エンドポイント保護: 組織は、エンドポイント保護を導入し、リモート デバイスやモバイル デバイスを含むこれらの各デバイスを保護して、ネットワークを保護する必要があります。
- PowerShell: PowerShell の使用とセキュリティ保護に関するベスト プラクティスも考慮する必要があります。
- パスワードの衛生状態: ファイルレス マルウェアの感染が特定され、正常にクリーンアップされた後、パスワードを変更する必要があります。
- 従業員のトレーニング: 徹底したエンドユーザー セキュリティ トレーニングも、ファイルレス マルウェア感染の防止に大いに役立ちます。
ファイルレス マルウェアは、多くの場合、エクスプロイト キットにすでに含まれているため、犯罪者が簡単に入手できます。 さらに、一部のハッカーは、ファイルレス マルウェア攻撃をサービスとして提供しています。 このマルウェアは、永続性よりもステルス性に依存していますが、他のマルウェアと組み合わせられる柔軟性により、両方を行うことができます。 したがって、組織は、これらの脅威に効果的に対抗するためのベスト プラクティス、セキュリティ ソリューション、および従業員トレーニングの多層アプローチを含むセキュリティ戦略を実装する必要があります。
[スターボックス=6]