勉強前イメージ
ファイルなしでのマルウェア?
調査
ファイルレスマルウェア とは
マルウェアの一種で、悪意のあるファイルなどを使うのではなく
OSに元々組み込まれているソフトウェアを使用してメモリに常駐することで攻撃を行うものになります。
なので、ソフトウェアをインストールせずとも実行ファイルがなくても攻撃を仕掛けることが出来ます。
そのため再起動すると消え、セキュリティソフトでの検知が難しいという一面があります。
ファイルレスマルウェアの仕組み
ファイルレスマルウェアはOSに組み込まれているソフトウェアを使用すると↑で記載しました。
Windowsでは特にPowerShellやWMIを使用して活動を行います。
それぞれの説明は以下になります。
- Powershell
- windowsのCLIの一つ
- これでほとんどの操作が可能
- 標準搭載されているため検知が難しい
- WMI(Windows Management Instrumentation)
- windowsの管理の根幹の技術
- PC上のすべての情報に操作可能
新しいものをインストールせずに、OSにある便利な機能を利用して攻撃を行います。
ファイルレスマルウェアの対策
ファイルレスマルウェアの対策としてPowerShellなど使用しないという手がありますが
基本的には必須なので難しいです。
なので、ファイルレスマルウェアに対応しているセキュリティソフトを使用するのが効果的です。
また、PCに入り込むのはスパムメールの添付ファイルが多く
知らないファイルは開かない など基本的なセキュリティの意識を高める必要があります。
勉強後イメージ
元々の機能ですらも攻撃側に回ってしまうとかあるの・・・・
あとメモリ上にいると検知は難しそう