目に見えない、ファイルのないマルウェアが世界中の銀行に感染している

ファイルレス・マルウェア

かつて国家主導のハッカーの領域では、メモリ内のマルウェアが主流になりました

2年前、モスクワのカスペルスキー・ラボの研究者らは、社内ネットワークが今まで見たことのないマルウェアに感染していることを発見しました。 事実上すべてのマルウェアは感染したコンピュータのメモリにのみ存在し、感染が6か月以上検出されなかった可能性があります。 カスペルスキーは、これまで見たことのないマルウェアのように、Duqu 2.0が米国とイスラエルがイランの核計画を妨害するために作成した非常に洗練されたコンピュータワームであるStuxnetから派生したという証拠を最終的に発掘した。

今や、金銭的に動機付けられた犯罪者のハッカーたちが、彼らの全国的なスポンサーとなる相手を模倣しているため、ファイルレスなマルウェアが主流になりつつあります。 カスペルスキーの調査によると、少なくとも140の銀行や他の企業に所属するネットワークは、同じメモリ内の設計にほとんど依存しないマルウェアに感染しているという。 感染を検出するのが難しいため、実際の感染数ははるかに高い可能性があります。 感染を検出しにくくするもう一つの特徴は、マルウェアをコンピュータメモリに注入するために、正当で広く使われているPowerShell、Metasploit、Mimikatzなどのシステム管理とセキュリティツールを使用することです。

Kaspersky Labの専門家、Kurt Baumgartner氏はArsに語った。「ここで興味深いのは、これらの攻撃が銀行自身に対してグローバルに進行していることです。 “これに対処するために銀行は多くの場合十分に準備されていない。” 彼は、攻撃の背後にある人々は、自動預金処理機を稼働させているコンピュータを標的にして、「銀行内から銀行から資金を引き出す」と続けた。

感染した無名の140の組織は、米国、フランス、エクアドル、ケニア、英国が最も影響を受けた国の上位5カ国である40カ国に居住しています。 カスペルスキー研究所の研究者は、攻撃の背後にある単一のグループの人がいるのか、競合するハッカーのギャングによって実行されているのかはまだ分かりません。 whoisデータに関連付けられていないファイルレスマルウェアおよびコマンドサーバードメインを使用すると、帰属の難しい作業はほとんど不可能になります。

パスワードの獲得

マイクロソフトのドメインコントローラの物理メモリ内にMetasploitのメモリ内コンポーネントであるMeterpreterのコピーが見つかった昨年末、マルウェアが発見されました。 フォレンジック分析を行った後、Meterpreterコードがダウンロードされ、PowerShellコマンドを使用してメモリに注入されていることがわかりました。 感染したマシンは、MicrosoftのNETSHネットワーキングツールを使用して、データを攻撃者が制御するサーバーに転送しました。 これらの処理に必要な管理者権限を得るために、攻撃者はMimikatzにも頼っていました。 ログやハードドライブに残っている証拠を減らすために、攻撃者はPowerShellコマンドをWindowsレジストリに隠していました。

幸運にも、ドメインコントローラのエビデンスは損なわれませんでした。おそらく、カスペルスキーの研究者が調査を開始する前に再起動されていなかったからです。 ダンプされたメモリ内容とWindowsレジストリの分析により、研究者はMeterpreterとMimikatzのコードを復元することができました。 後で研究者たちは、このツールを使ってシステム管理者のパスワードを収集し、感染したホストマシンのリモート管理を行っていた。

Baumgartner氏は、「最初に発見された数か月後に発見された感染症について、多くの事件について話している」と述べた。 「MeterpretorをダウンロードしてネイティブのWindowsユーティリティとシステム管理ツールを使用してPowerShellをレジストリに埋め込んでそこからアクションを実行することは、このような事件の共通点を見ている」

研究者は、マルウェアが最初にどのように保持されているかはまだ分かりません。 可能性のあるベクトルには、SQLインジェクション攻撃やWordPressコンテンツ管理アプリケーション用のプラグインをターゲットとする攻撃が含まれます。 カスペルスキー・ラボでは、4月に感染がATMからの資金を吸い上げるためにどのように使用されたかについて詳細を提供する予定です。 今のところ、企業の研究者は、ここで妥協の指標やその他の技術的な詳細を提供しています。

参照:

https://arstechnica.com/security/2017/02/a-rash-of-invisible-fileless-malware-is-infecting-banks-around-the-globe/