ステルス性が高いマルウェア「ファイルレスマルウェア」の脅威

トレンドマイクロは 8月14日、マルウェア（ウイルス）自体のファイルを作成せずに不正活動を行う「ファイルレスマルウェア」の「JS_POWMET（パウメット）」を確認したことを公開しました。ファイルレスマルウェアは、コンピュータへの侵入や感染、攻撃などの際に実質的にファイルの形態を伴わないため、ファイルスキャンを使うセキュリティソフトでの検知は困難です。今回確認されたJS_POWMET は以下のように動作します。

何らかの手段で、JS_POWMET を自動実行するようレジストリを書き換えます
JS_POWMET は、外部サーバから、PowerShell ベースで構成されたトロイの木馬（TROJ_PSINJECT）をダウンロードします
トロイの木馬（TROJ_PSINJECT）は、さらに外部サーバから「favicon」というファイルをダウンロードします（「favicon」ファイルの内容を読み込むだけで、ファイルとして感染PCには保存されない）
「favicon」ファイルの内容は、暗号化されたバックドア型マルウェア「BKDR_ANDROM」となっており、ルートボリュームのシリアル番号やOSのバージョン、プライベートIPアドレス、管理者権限の情報を盗み取ります

こうしたファイルレスマルウェアとしては、2016年末の標的型サイバー攻撃で確認された「ChChes」、2017年4月に確認されたランサムウェア「SOREBRECT」等が過去にも存在しました。ただし、これまでのファイルレスマルウェアではマルウェア本体は保存されていないものの、「マルウェア本体を起動するためのコード」などのなんらかのファイルが保存されていました。しかしながら、今回確認された JS_POWMETは、まったくファイルとして保存されずに動作するマルウェアのようです。

現在、JS_POWMET の侵入経路は不明ですが、不正サイトにアクセスした際にダウンロードされたか、もしくは、他のマルウェアによって作成されたファイルが発端となると考えられています。このような新たなマルウェアへの対策としては、感染後の C&C サーバとの通信をブロックする出口対策が有効と考えられています。また、今回の事例についてはPowerShellの無効化により影響を軽減するという対策も考えられます。

このような「ステルス性が高いマルウェア」は、今後も多数発生すると予想されており、WannayCry などの感染メカニズムを取り込んだマルウェアも登場してきており、その動向には十分注意が必要であると考えます。

参考