カスペルスキーエキスパート:イベントログにファイルがないマルウェアに注意
ジャカルタ - 最近の調査で、カスペルスキーの専門家は、かなり具体的な標的型マルウェアキャンペーンを発見しました。
このアクティビティは、マルウェアストレージ用のWindowsイベントログの革新的な使用、商用侵入テストスイートやGoでコンパイルされたものを含むアンチ検出ラッパーなどの印象的な範囲の攻撃手法で際立っています。一部の後期段階のトロイの木馬は、アクティビティ中に使用されます。
カスペルスキーのエキスパートは、Windows イベントログに「ファイルレス」マルウェアを隠す独自の手法を使用する、標的型マルウェアキャンペーンを検出しました。システムの初期感染は、被害者がダウンロードしたアーカイブからインキュベーターモジュールを介して行われます。
攻撃者は、さまざまな比類のないアンチ検出ラッパーを使用して、最終段階のトロイの木馬が明白になりすぎないようにします。これ以上検出されないように、一部のモジュールはデジタル証明書で署名されています。
攻撃者は、最後の段階で 2 種類のトロイの木馬を使用します。これは、システムへのさらなるアクセスを得るために使用され、制御サーバーからのコマンドは、HTTPネットワーク通信を介して、名前付きパイプを使用して、2つの方法で送信されます。一部のバージョンのトロイの木馬は、C2 からの数十のコマンドを含むコマンドシステムを正常に使用しています。
このキャンペーンには、商用の侵入テストツール、つまりSilentBreakとCobaltStrikeも含まれています。これは、よく知られているテクニックとカスタマイズされたデクリプター、および最初に観察されたWindowsイベントログを使用してシェルコードをシステムに隠すことを組み合わせたものです。
「私たちは、エキサイティングな新しい標的型マルウェア技術を目の当たりにしています。このような攻撃の場合、サイバー犯罪者はWindowsイベントログから暗号化されたシェルコードを保存して実行します」と、カスペルスキーの主任セキュリティ研究者であるDenis Legezoは声明で述べています。
Legezo氏は、これまで見たことのないアプローチであると付け加え、同時に、あなたを不意打ちで捕まえる可能性のある脅威に注意を払い続けることの重要性を強調しました。
「イベントログの手法を、MITERマトリックスの「アーティファクトの非表示」セクションの「防御を予測する」セクションに追加することは価値があると考えています」と彼は続けました。
彼はまた、複数の商用侵入テストスイートの使用も、毎日目にするものではないと述べた。
ファイルレスマルウェアや同様の脅威から身を守るために、カスペルスキーでは次のことを推奨しています。
信頼性の高いエンドポイントセキュリティソリューションを使用します。APT対策ソリューションとエンドポイントレスポンス(EDR)をインストールし、タイムリーな脅威の発見と検出、調査、インシデント修復機能を可能にします。また、SOC チームに最新の脅威インテリジェンスへのアクセスを提供し、専門的なトレーニングで定期的にアップグレードします。適切なエンドポイント保護と、注目度の高い攻撃からの保護に役立つ専用サービスを統合します。