2021/01/07

ネットワーク外から侵入するファイルレスマルウェアについて

2021 年 1 月 7 日 編集部記事

ファイルレスマルウェアは、過去 1 年間数多くのニュースで取り上げられ、今日存在する脅威の中でもその対策が急務となっています。Cisco によれば 2020 年上半期にエンドポイントを標的とした脅威の中で、最多を記録したのはファイルレス攻撃でした。この種のマルウェアを効果的に防ぐためには、実際にマルウェアがどのように機能するか、組織が正しく理解する必要があります。

ウォッチガードのシニアセキュリティアナリストである Marc Laliberte が Help Net Security に寄稿した最新の記事でこの問題を取り上げています。WatchGuard の最近のコラム「エンドポイント攻撃の解剖学」に続くこの記事では、ファイルレスマルウェアの基本と、ウォッチガード脅威ラボが発見した実環境における感染事例について取り上げています。以下は記事からの抜粋です。

ファイルレスマルウェアのほとんどは、何らかの形式のドロッパーファイルが攻撃の起点となっていますが、本当にファイルを必要としない、回避性の高いものも存在します。これらの攻撃は、一般的に次の 2 つの方法のいずれかによって引き起こされます。A)アプリケーションのコード実行の脆弱性を悪用する。B)盗んだ認証情報を使用してネットワークに接続されたアプリケーションの機能を悪用し、システムコマンドを実行する(こちらの方が一般的です)。

ウォッチガード脅威ラボは最近、後者の手法を使用した感染が進行していることを確認しました。Panda AD360 脅威ハンティングコンソールが生成したアラートを調査し、被害を受ける可能性がある環境のサーバエンドポイントの指標とテレメトリデータを統合し、脅威が実際に被害をもたらす前に特定し、修正しました。

この感染で使用された Microsoft SQL Server は、エントリーポイントとしては珍しいものです。SQL Server の主な役割はデータ記録を保存することですが、この中には基盤となるサーバ上でシステムコマンドを実行できるプロシージャも含まれています。Microsoft のベストプラクティスでは権限を制限したサービスアカウントを使用することを推奨していますが、多くの管理者は、高位のシステムレベルのアカウントで SQL Server を稼働させており、このデータベースアプリケーションとそれが実行するコマンドがサーバを自由に制御できるようになっています。

攻撃者は、攻撃を開始する前に SQL Server にアクセスするための認証情報を取得していました。これをどのようにして入手したのかは不明ですが、スピアフィッシングメールを使ったか、あるいは単に認証情報が脆弱なシステムに総当たり攻撃を仕掛けて侵入した可能性が高いでしょう。SQL コマンドを実行できるようになれば、攻撃者は基盤となるシステム上で攻撃を仕掛けるための選択肢を手に入れたのと同じことです

ネットワークの外にあるファイルレスマルウェアの詳細と、これらの攻撃を防ぐためのベストプラクティスについては、こちらの記事全文 (英文)をお読みください。当ブログでは、最新のセキュリティニュース、分析、セキュリティ戦略について引き続き紹介していきます。