マイクロソフトは、被害者のマシンにソフトウェアをインストールすることなくユーザーデータを盗み出すことを目的とする、特に悪質なファイルレス マルウェアの内部構造を明らかにした。
「アスタロト」(地獄の公爵と同じ名前)と呼ばれるこの悪質なソフトウェアは、2017年から出回っており、主にスピアフィッシングによる標的型攻撃で南米やヨーロッパの企業からデータを盗むために使用されてきた。
Microsoft Defender APT 研究チームのメンバーである Andrea Lelli 氏によると、この感染が独特なのは、被害者のマシンに実行ファイルをインストールする必要がなく、従来のウイルス対策製品の検知を逃れることができる点だという。
「Astaroth は、認証情報、キーストローク、その他のデータなどの機密情報を盗み出し、それをリモートの攻撃者に送信することで知られる、悪名高い情報窃盗マルウェアです」と Lelli 氏は本日説明した。
「攻撃者は盗んだデータを使ってネットワークを横断して移動したり、金銭窃盗を実行したり、被害者の情報をサイバー犯罪の地下市場で売ったりすることができる。」
通常、攻撃は被害者がスピアフィッシングメール内のリンクを開くことで開始されます。そのリンクをクリックすると、JavaScriptコードをダウンロードして実行するターミナルコマンドへのショートカットファイルが開きます。このJavaScriptコードは、システムプロセスを装いながら、被害者の情報をログに記録してアップロードするという厄介な作業を実行する2つのDLLファイルをダウンロードして実行します。
この手順は、プロセス全体を通してDLLファイル以外のダウンロードやインストールは行われないため、従来のシグネチャベースの検出ツールに対して非常に効果的です。そのため、攻撃をスキャンしたり捕捉したりする機会はほとんどありません。
イスラエルの標的に仕掛けられたWord文書を介して卑劣な「ファイルレス」マルウェアが送り込まれる
続きを読む
これは、脆弱性の悪用や従来のトロイの木馬ダウンローダーに頼ることなく、Astaroth が 2017 年後半から繁栄してきたアプローチでもあります。
「従来のファイル中心のウイルス対策ソリューションでは、この攻撃を検出できる唯一の機会は、2つのDLLがダウンロード後にデコードされたときだけかもしれない。結局のところ、攻撃に使用された実行ファイルはすべて無害なものだからだ」とレリ氏は述べた。
「もしこれが事実であれば、この攻撃は深刻な問題を引き起こすでしょう。DLL はコードの難読化を使用しており、キャンペーン間で急速に変更される可能性が高いため、これらの DLL に焦点を当てることは悪質な罠となるでしょう。」
レリ氏によると、Microsoftをはじめとするベンダーは、マルウェアを検知するために、ヒューリスティック検出ツールに頼らざるを得なかったという。特に、アンチウイルスツールは、WMICコマンドラインコードの使用状況を綿密に監視し、DLLファイルの読み込み時にルールを適用する必要がある。例えば、ファイルの古さをチェックしたり、新しく作成されたDLLの実行をフラグ付けしたりブロックしたりするなどだ。レリ氏は、何を探しているのかが明確であれば、ファイルレスマルウェアは新しいセキュリティツールにとって特に難しいものではないと説明する。
「目に見えないことは、場合によっては役に立つかもしれないが、自分が無敵だと錯覚してはいけない。同じことはファイルレスマルウェアにも当てはまる。ファイルレス技術を悪用しても、マルウェアがセキュリティソフトウェアの到達範囲や可視性から逃れることはできない」と、レドモンドのセキュリティ担当者は述べている。
「それどころか、ファイルレス技術の中には、非常に異常で特異なものもあり、まるでお金の入った袋がひとりでに動いているように、マルウェアにすぐに気づかれるかもしれません。」®
