ブログ

FFRI BLOG

FFRI yaraiがファイルレスマルウェアを検知

サイバー攻撃は日々進化し高度化しています。
これまでの主要なマルウェア検出技術は主に実行ファイルを対象としてきました。
攻撃者はこれをすり抜けるために昨今ではデータファイルやスクリプトファイル、マクロファイルなどを悪用します。



こういった検知を逃れるためにファイルすら使用しないいわゆる「ファイルレスマルウェア」による攻撃はすでに確認されており、今後マルウェア検出技術はもっと広範囲な種類のファイルを対象としていく事が求められます。






【ファイルレスマルウェアでの攻撃例】

今回FFRIはファイルレスマルウェアを入手し、その脅威を検証しました。
※ファイルレスマルウェアにはいくつかの種類が確認されていますが、今回はPEファイルを使用せず、ショートカットファイルやPowerShellを利用して感染させるタイプのファイルレスマルウェアで検証を行いました。


このマルウェアはEメール添付ファイルなどによって、RTFファイル形式で送付されてきます。
RTFファイルを開くとダブルクリックを促す画像を含むWordファイルが表示され、ダブルクリックすると、「このパッケージを開くと、パッケージ内に含まれるプログラムが実行されます。」といったダイアログが表示されます。ここでで "OK"を押すと、感染プロセスが開始されます。


ショートカットファイル(lnkファイル)がドロップされ、さらにJavaScriptコードが書かれたテキストファイル(.txt)をドロップし、実行されます。最終的にはPowerShellを実行しC&Cサーバーからペイロードを読み込んでMeterpreterを実行します。Meterpreterが実行された端末は外部からコンピュータを操作され、組織内への2次感染に利用される危険性があります。





【FFRI yaraiによる防御】

今回のマルウェアをFFRI yaraiで検証を行い、多層防御技術により、攻撃チェーンの複数のタイミングで防御可能であることを確認しました。 実際の利用環境ではStatic分析エンジンによる検知で攻撃失敗となりますが、今回は追加検証を行い、HIPSエンジンおよびZDPエンジンによってその後の攻撃も検知、防御が可能であることを確認しています。


Static分析エンジンによるlnkファイルの検知


多数の分析手法「N-Static分析」のStatic分析エンジンによるファイルレスマルウェアlnkファイルの検知結果。Static分析エンジンは外側のマルウェアらしさからファイルレスマルウェアのlnkファイルを検知しました。


HIPSエンジンによるjavascriptコードの検知


実行中プログラムの動作を監視するHIPSエンジンによるファイルレスマルウェアjavascriptコードの検知結果。HIPSエンジンでは怪しい挙動からファイルレスマルウェアを検知しました。


ZDPエンジンによるPowerShellの不正な振る舞いの検知


ZDPエンジンは脆弱性を利用したマルウェアを検知します。今回はPowerShelが攻撃者から利用されているという不当な振る舞いとして検知しました。



■検証環境
Windows 7 × FFRI yarai 2.9.0 (2017 年 5 ⽉リリース)
■検証した検体のハッシュ値  (SHA-256)
2781526f6b302da00661b9a6a625a5a6ecf4ffccafa61202e9b0e9b61b657867
※virus totalで2017-06-01 16:29:21 UTC時点の検出率は0 / 56でした。






ファイルレスマルウェア攻撃チェーン。各ステップでファイルレスマルウェアを多角的に検知・防御します。

ファイルレスマルウェア攻撃チェーンとして4ステップに分解しました。
ステップ1はメールによる侵入です。
ステップ2は検出が難しいlnkファイルがドロップされるタイミングでFFRI yaraiは静的に検出しました。
ステップ3ではJavaScriptによる悪意ある振る舞いを動的に検知しました。
ステップ4ではmeterpreterがダウンロードされ、PowerShell内で危険な動作をしようとしたところを検知して動作を停止させました。


FFRI yaraiはこのように攻撃チェーンの各ステップで多角的に防御可能な仕組みを持っています。ファイルレスマルウェア攻撃チェーンとして4ステップに分解しました。ステップ1はメールによる侵入です。


このようにファイルレスマルウェアによる攻撃はすでに確認されており、被害に遭わないためにも早急な対策が必要といえます。
FFRIでは今回ご紹介したような新たな脅威に対抗するために、防御エンジンの開発を続けています。

その他最新事例・ホワイトペーパーのダウンロードはこちらから

関連記事

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

御社のランサムウェア対策は大丈夫ですか?

大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai

FFRI yarai 製品ページ

pagetop