ファイルレスマルウェアとは、悪意のあるソフトウェアの一種でありコンピュータのメモリベースRAM内にのみ存在するソフトウェア。
ファイルベースのホワイトリスト、シグネチャの検出、ハードウェアの検証、パターン分析、タイムスタンプなどを組み込んだ既存のアンチコンピュータ・フォレンジック戦略に対して非常に有効であり、不正な活動を特定するデジタル・フォレンジック調査を実施する際、使用できる証拠をほとんど残すことはない。
このタイプのマルウェアはメモリ内で動作するように設計されているため、システム上での存続期間はシステムが再起動されるまでとなるのが大きな特徴。
ファイルレス型マルウェアとインメモリ型マルウェアの違い
ファイルレス型マルウェアは、インメモリ型マルウェアと同義と定義されることがある。しかし、どちらのマルウェアもシステムメモリ上で実行されるという動作実行環境は同じだが、決定的に異なるのは感染の開始と拡大の方法が異なる。
インメモリ型マルウェアを含むほとんどのマルウェアの感染経路は、実行するためにハードディスクへの書き込みを必要とする。
しかし、何らかの形でホストシステムのハードディスクにアクセスする必要がある。つまり、最もステルス性の高いアンチフォレンジック手法を採用したとしても、何らかの形で不正アクセスしたという残留物がホストメディアに残ってしまう。
一方、ファイルレスマルウェアは、感染してからプロセスが終了するまで(通常はシステムの再起動)、その内容がディスクに書き込まれることはない。システムレジストリ・インメモリプロセス・サービスエリアなど揮発性のシステム領域に常駐することで実現している。
ファイルレス・マルウェアは、明確に設定された攻撃シナリオを達成するため、着実に自己改善・強化を行う進化型の悪意のあるソフトウェアとなっている。
そのルーツは、Frodo、The Dark Avenger、Number of the Beastなどのウイルスに見られるように、いったん起動すると制御フローにアクセスする前にシステムの割り込みを待ってメモリ内に常駐するメモリ常駐型のウイルスプログラムがファイルレスマルウェアの起源と言われている。
これらの技術は、一時的なメモリ常駐型ウイルスへと発展し、有名な例ではAnthrax, Monxlaなどがある。またCodeRedやSlammerなどのインメモリに注入されるネットワークウイルス/ワームによって、より真の意味での「ファイルレス」の性質を持つようになった。
また、Stuxnet、Duqu、Poweliks、Phasebotなどのウイルスには、より現代的な進化を遂げたものが見られている。
2017年2月8日、Kaspersky Labのグローバルリサーチ&アナリシスチームは「Fileless attacks against Enterprise networks(企業ネットワークに対するファイルレス攻撃)」と題したレポートを発表している。
このレポートによるとこの種のマルウェアの亜種とその最新の形態が、銀行・通信会社・政府機関を中心に世界の140の企業ネットワークに影響を与えていることが示唆されている。
この報告書では、ファイルレス型マルウェアの亜種が、PowerShellスクリプト(Microsoft Windowsのレジストリシステム内に設置されている機能の1つ)を使用して「Metasploit」と呼ばれる共通の攻撃フレームワークと「Mimikatz」などのサポート攻撃ツールを活用してターゲットのマシンに攻撃を仕掛け「SC」や「NETSH」などの標準的なWindowsユーティリティを利用して横方向への移動を支援する様子が詳しく紹介されている。
このマルウェアでは、セントラル・ドメイン・コントローラー(DC)上の物理メモリで実行されているMetasploit Meterpreterコードを特定したことで初めて検出された。
ちなみにKaspersky Labだけではなく、Symantec、Trend Micro、McAfee Labs、Cybereasonなどの主要なITセキュリティ・アンチマルウェア企業のほとんどが同様の調査結果を発表している。
ファイルレスで動作するマルウェアの出現は、デジタルフォレンジック捜査にとって大きな課題となっている。
デジタルフォレンジック捜査にとって、犯行現場から電子的な残留物を入手できることはChain of Custody(証拠保全の過程)を確保し、法廷で認められる証拠を作成するために不可欠であるため。
デジタルフォレンジック調査の標準的な作業手順や犯行現場でコンピュータをどのように扱うべきかを考えた場合困難を極める
従来のフォレンジック調査の方法において、フォレンジックチームは次のようなルールに基づいて調査を行っている。
- いかなる状況でもコンピュータの電源を入れてはならない
- コンピュータの電源が切れていることを確認する。スクリーンセーバーの中には、コンピュータの電源が切れているように見せかけるものがあるが、ハードドライブやモニタの動作ランプはマシンの電源が入っていることを示している場合がある。
- ノートパソコンから主電源のバッテリーを外す。
- コンピュータ本体のソケットから電源やその他のデバイスを抜く
このようにファイルレスマルウェアは、これらのフォレンジックフローに当てはまらない。
証拠の取得は、調査対象となる実際に稼働しているシステムから取得したメモリイメージに対してのみ行われるためである。
従来のフォレンジック調査をファイルレスマルウェアに対して行った場合、メモリが揮発してしまい、法的な立証性が損なわれたり、提示された証拠の重みが減少するなど、トロイの木馬や「他の人間がやった」という抗弁がより効果的に使用される可能性が高まる。
標準的なフォレンジック調査の手法が対応できないため、この種のマルウェアはネットワーク内の足場を確保、追跡が困難な横方向の動き(ラテラルムーブメント)を行い、迅速かつ静かに実行したいと考えている敵対者にとって非常に魅力的な手段になっている。
Comments