マルウェア
ファイルレスマルウェア
別称: メモリ常駐型マルウェア, LOL 型マルウェア
定義
ディスク上の従来型実行ファイルを使わず、主にメモリ上で動作して正規のシステムツールを悪用するマルウェア。
ファイルレスマルウェアは、PowerShell・WMI・.NET・WSH・Windows レジストリといった正規コンポーネント(LOLBins)を悪用してメモリ上で動作することにより、ディスク上の痕跡を最小化する。これは「Living off the Land」と呼ばれる手法である。初期コードはフィッシング文書、エクスプロイト、メモリ型ローダなどを通じて配信され、その後のステージはリフレクティブロードでメモリに展開され、ディスクへ書き出されないことが多い。シグネチャ型 AV がスキャンする実体ファイルがほとんどないため、検知が一段と難しい。対策としてはスクリプトブロック/コマンドラインの監査ログ、AMSI 連携、ふるまい・メモリ検査を備えた EDR、Constrained Language Mode と WDAC による PowerShell の制限・署名運用などが挙げられる。
例
- リフレクティブにメモリへロードされる PowerShell 製の Cobalt Strike Beacon ペイロード。
- Windows レジストリにエンコード済みペイロードを格納するファイルレスマルウェア POWELIKS。
関連用語
ステルス型マルウェア
隠蔽・偽装・解析妨害などの技術を用いて、利用者・セキュリティツール・フォレンジック担当者からの検知を回避するために設計されたマルウェア。
ポリモーフィック型マルウェア
感染のたびに再暗号化やパッキングによってディスク上の外見を変化させつつ、内部ロジックは保ったままのマルウェア。
メモリフォレンジック
システムの揮発性 RAM を取得・解析し、稼働中プロセス、ネットワーク接続、注入コード、メモリ上の痕跡を明らかにする領域。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
ローダ
攻撃の後続段階に向けて環境を整え、追加ペイロード(多くはメモリ上)を読み込んで実行するマルウェア。
マルウェア
コンピュータ、ネットワーク、データを妨害・破壊したり、不正にアクセスしたりする目的で意図的に作成されたソフトウェアの総称。