攻撃の際にファイルを使用しない「ファイルレス・マルウェア」が増加しています。この高度な攻撃手法では、攻撃者が標的のマシンを攻撃する際、マルウェアをインストールする必要がありません。そのため、(シグネチャーベースの)従来型のアンチウイルス・ソリューションでは検出することができません。ファイルレス・マルウェアは、標的のマシンに存在する既存の脆弱性を悪用し、Windows Management Instrumentation(WMI)やPowerShellなどの一般的なシステム管理ツールを用いて、通常は安全であると信頼されているプロセスに不正なコードを挿入します。

増加の一途を辿るこのファイルレス・マルウェアを非常に効果的に検出できるのが、先ごろチェック・ポイントがリリースしたSandBlast Agentの新機能、Behavioral Guardです。Behavioral Guardは、簡単に言えば、あらゆる不正なふるまいを検出して対処する振る舞い検出エンジンです。独自のフォレンジック技術を活用して未知のマルウェアのふるまいを効果的に検出し、そのマルウェア・ファミリーを正確に特定します。この高度な検出技術は、マルウェアの継続的な進化に適応する柔軟性を備えており、正規のスクリプト・ツールの悪用など、次々出現する新しい攻撃手法にも対応することが可能です。

Behavioral Guardの投入依頼、チェック・ポイントは、従来型の技術では検出困難なファイルレス攻撃を数多く発見しています。最近、お客様環境のPCで見つかった攻撃の1つでは、ファイルレスのペイロードがWMIのファイル・システムの奥深くに隠されており、システムの起動時など特定のイベント時にのみ、Windowsシステムによってバックグラウンドで密かに実行されていました。

この攻撃では、PowerShellを実行する永続的なWMIイベント・コンシューマ・オブジェクトを作成し、インラインのスクリプトでWindowsの認証情報を収集、パブリック・クラウド・サービス上のサーバにアップロードしていました。PowerShellは、現行のすべてのWindowsオペレーティング・システムに標準搭載されている、Microsoftによる署名付きの信頼されたプロセスです。シグネチャで検出できる一般的なマルウェア攻撃と異なり、この攻撃は、ディスクにファイルを書き込んだり、オペレーティング・システム上で不正なプロセスを実行したりすることなく、システムの奥深くで進行します。しかし、チェック・ポイントのBehavioral Guardは、スクリプトが難読化されたこのファイルレス攻撃の検出に成功しています。

スクリプト型のマルウェアは、本格的なファイル・ベースのマルウェアよりも短時間で簡単に作成できることから、攻撃者の間ではスクリプト型に移行する動きが広がっています。また、攻撃におけるスクリプトの使用は、ファイルとは違う課題をセキュリティ・ベンダーに突きつけています。スクリプト型マルウェアの詳細については、こちらのレポート(英文)をご覧ください。

ファイルレス攻撃の観測数は、増加する一方です。防御側の組織は、この攻撃の特徴や、従来型のアンチウイルス・ソリューションでは検出困難であるという事実を理解しておく必要があります。一般的なエンドポイント・セキュリティ対策は、高度なファイルレス攻撃に対してまったくの無力であり、いわゆる次世代アンチウイルス(NGAV)ソリューションでもこれらの攻撃を検出することはできません。しかし上で述べたように、SandBlast AgentのBehavioral Guard技術は、ファイルレス攻撃に対して有効に機能することが実証されています。既知の攻撃だけでなく、まだ見ぬ未知の攻撃に対しても、同様の効果が期待できます。

 

本ブログは、米国時間8月23日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。