ファイル無しで活動する高度なマルウェア確認、痕跡も少ない「JS_POWMET」
マルウェアJS_POWMET の解析
トレンドマイクロ株式会社は、セキュリティ専門家による脅威情報・ニュースを配信するセキュリティブログにおいて、ファイル無しで活動するマルウェアについて報告している。
これまでのマルウェアでの攻撃は、メールに添付してあるファイルを開くと感染するなど、ファイルありきの攻撃が多かったが、現在、攻撃者の痕跡をできるだけ残さない、より高度なファイルレスな攻撃が確認されているという。
同社が確認したマルウェア「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)では、Windows のレジストリを利用した自動実行で遠隔操作サーバ(C&C サーバ)上から活動を開始。その後は、マルウェアの不正コードをレジストリに保存して実行するなど、侵入段階から最終的に実行されるバックドア型マルウェアまで、物理的にマルウェア自体のファイルを作成せずに不正活動を遂行する。
従来のファイルを使わないマルウェアは、標的型サイバー攻撃のRAT「ChChes」や暗号化型ランサムウェア「SOREBRECT」などが確認されてきた。これらは、マルウェア本体を起動するためのコードなど、なんらかのファイルがどこかの段階で作成されていたが、「JS_POWMET」では、確認されている範囲の活動においてはファイルが作成されていない。ファイルがなければ、セキュリティソフトによるマルウェア検出の際にファイル単位の検索では検出できず、マルウェアでの攻撃が容易になってしまう。
「JS_POWMET」の感染経路は不正な Web サイトにアクセスし、ダウンロードされたファイルから、もしくは他のマルウェアによって作成されたファイルが発端になると見られている。
感染を防ぐには、不正なWebサイトでのダウンロードを控えたり、トレンドマイクロ社のエンドポイント製品でブロックや検知することができる。
これまでのマルウェアでの攻撃は、メールに添付してあるファイルを開くと感染するなど、ファイルありきの攻撃が多かったが、現在、攻撃者の痕跡をできるだけ残さない、より高度なファイルレスな攻撃が確認されているという。
同社が確認したマルウェア「JS_POWMET(パウメット)」(「JS_POWMET.DE」として検出)では、Windows のレジストリを利用した自動実行で遠隔操作サーバ(C&C サーバ)上から活動を開始。その後は、マルウェアの不正コードをレジストリに保存して実行するなど、侵入段階から最終的に実行されるバックドア型マルウェアまで、物理的にマルウェア自体のファイルを作成せずに不正活動を遂行する。
従来のファイルを使わないマルウェアは、標的型サイバー攻撃のRAT「ChChes」や暗号化型ランサムウェア「SOREBRECT」などが確認されてきた。これらは、マルウェア本体を起動するためのコードなど、なんらかのファイルがどこかの段階で作成されていたが、「JS_POWMET」では、確認されている範囲の活動においてはファイルが作成されていない。ファイルがなければ、セキュリティソフトによるマルウェア検出の際にファイル単位の検索では検出できず、マルウェアでの攻撃が容易になってしまう。
「JS_POWMET」の感染経路は不正な Web サイトにアクセスし、ダウンロードされたファイルから、もしくは他のマルウェアによって作成されたファイルが発端になると見られている。
感染を防ぐには、不正なWebサイトでのダウンロードを控えたり、トレンドマイクロ社のエンドポイント製品でブロックや検知することができる。
