「vaporworm」の予測が早くも現実化
前回の記事で発表したウォッチガードの 2019 年セキュリティ予測で、我々は自己増殖型のファイルレスマルウェア「vaporworms」の流行を予測していましたが、トレンドマイクロが今週発表したブログ記事によって、この予測が早くも的中したことがわかりました。トレンドマイクロはその記事で、新たに発見された BLADABINDI RAT(リモートアクセス型トロイの木馬)のファイルレス亜種を分析しており、この亜種のツールキットに、リムーバブルストレージ経由で自己増殖する機能が追加されていることがわかりました。
この BLADABINDI の新しい亜種は、Windows のスクリプト言語である AutoIt を使用してバックドアを用意し、拡散を促進するために、システムに接続されているリムーバブルストレージに自分のコピーをインストールします。このマルウェアの「ファイルレス」である部分は、システムに常駐化する方法を指すものであり、従来のマルウェアのように不正な実行可能ファイルをハードドライブにドロップするのではなく、レジストリエントリとして保存した後に、PowerShell を使ってメモリから直接実行可能ファイルをロードして実行するための別のレジストリエントリを追加します。BLADABINDI のファイルレスの部分は、従来型のトロイの木馬の実行可能ファイルを取得するドロッパとしての役割を果たし、この実行可能ファイルがシステムの一時ディレクトリに保存されて実行されます。
ファイルレスマルウェアが全体として増加しています。Ponemon Institute の「2017 State of Endpoint Security Risk Report(2017 年版エンドポイントセキュリティリスク現状レポート)」によれば、攻撃の 29% にファイルレスマルウェアが使われており、2016 年の 2% から急増しています。そして、さらに驚くべきことに、成功した攻撃の 77% でファイルレスマルウェアが利用されていました。成功率の高さから、来年はファイルレスマルウェアのさらなる増加が予想されるため、システムを安全に保つための適切な保護が確実に機能していることを確認する必要があります。ウォッチガードのお客様の場合は、TDR(Threat Detection and Response)のすべての機能を利用することでプロセスの悪意ある挙動を監視するようにすることが、ファイルレスマルウェアを捕捉する最良の方法です。また、(WatchGuard APT Blocker のような)高度なマルウェア検知ツールは、追加マルウェアペイロードを捕捉し、データ漏洩などの重大な攻撃へと発展するのを防ぐ役割も果たします。