もっと詳しく

マルウェアにはさまざまな形態と強度があります ここでは、最も危険なマルウェアの1つであるファイルレスマルウェアについて説明します。

名前自体は、ファイルが含まれていないときにこのマルウェアがどのように拡散するかについて、多くの好奇心を呼び起こします。 具体的には、たとえばファイルをダウンロードしていない場合に、ファイルレスマルウェアが私のPCをどのように征服できるかを考えているかもしれません。

また読む: マルウェア:私たちが求めたことのない戦争

攻撃者の頭脳に少し入り込んでみませんか? 攻撃者はファイルレスマルウェアを使用する可能性があります–

  • 通常の状況では、アンチウイルスによって検出されないためです。 なんで? これについては、投稿の後半で説明します。
  • ファイルがない、または デジタル署名検出します。
  • 攻撃者は主に、Windowsにある合法的なツールを使用します。 ある意味で、攻撃者はWindowsを自分自身に逆らうでしょう。

では、もっと深く掘り下げましょう。

ファイルレスマルウェアとは何ですか?

ファイルレスマルウェアは、その名前が示すように、マルウェアを拡散するためにファイルに依存しない悪意のあるプログラムです。 これは、破壊を引き起こすためにファイルをウイルスに感染させる必要がないことを意味します。 では、どのようにコンピューターを悪用するのでしょうか。 一般的に使用されるアプリケーションと組み込みツールを悪用して、攻撃を実行します。 正規のプログラムを使用してPCに感染します。 ある意味で、それはあなたのWindowsPCをそれ自身に逆らう。 ファイルレスマルウェアが従来の攻撃と異なる点は、攻撃者が感染したPCにコードをインストールしないため、ファイルレスマルウェアを検出するのが難しいことです。

ファイルレスマルウェアはどのように動作しますか?

ファイルレスマルウェアは、LOCまたは観察可能な特性の低い攻撃に分類されます。 これらの攻撃は、ほとんどのセキュリティソリューションによる検出を回避するステルス攻撃です。 ファイルレスマルウェアはコンピュータのランダムアクセスメモリで動作し、コンピュータのハードドライブに触れることはありません。 代わりに、攻撃者はコンピュータにすでに存在する脆弱なソフトウェアを使用して、攻撃を制御および実行します。

攻撃者がコンピュータにアクセスできるようになると、攻撃者はWindows Management Instrumentation(WMI)またはWindowsPowerShellを悪用して悪意のあるアクティビティを実行する可能性があります。

ある時点で、これが私のセキュリティソリューションをどのように乗り越えることができるのか疑問に思われるかもしれません。 多くのセキュリティテクノロジーはこれらのユーティリティを信頼しているため、悪意のあるアクティビティは検出されないままになる可能性があります。 さらに、ファイルレスマルウェアはハードドライブに直接書き込まれるものを何も残さないため、セキュリティソフトウェアがスキャンできるファイルは保存されません。 さらに、ファイルレスマルウェアは、アンチウイルスが通常識別するフットプリントや署名を残しません。

ファイルレスマルウェアのさまざまな段階は何ですか?

ステージI:

攻撃者 脆弱性を悪用する Webスクリプトを使用してリモートアクセスを取得します。

ステージII:

攻撃者がアクセスを取得すると、攻撃者はさらに次のことを試みます。 侵害された環境の資格情報を取得する その環境の他のシステムに移動します。

ステージIII:

攻撃者はレジストリを変更してバックドアを作成します。

ステージIV:

攻撃者は必要なデータを収集し、それを1か所にコピーします。 次に、攻撃者はすぐに利用できるツールを使用し、すぐに利用できるシステムツールを使用してデータを圧縮します。 そして、攻撃者は最終的にFTP経由でデータをアップロードすることにより、環境からデータを削除します。

さまざまな種類のファイルレスマルウェア攻撃とは何ですか?

いくつかの種類のファイルレスマルウェアを見てみましょう–

–メモリコードインジェクション–

名前が示すように、攻撃者はこの手法を使用して、正当なアプリケーションのメモリに悪意のあるコードを隠します。 マルウェアは、Windowsのアクティビティに不可欠なプロセスが実行されている間に、自身を注入して配布します。 正規のアプリケーションと言えば、MWIやPowerShellなどのWindowsプログラムを使用しているため、実行されるコマンドは安全であると見なされ、危険信号をトリガーしません。

– Windowsレジストリ操作–

過去には、PowelikeとKovterは被害者のシステムをクリックボットに変換し、クリックスルー広告やWebサイトに接続していました。 この種の攻撃では、悪意のあるリンクまたはファイルが被害者によってクリックされると、マルウェアは通常のWindowsプロセスを使用して、ファイルレスコードをレジストリに直接書き込み、実行します。

–スクリプトベースのテクニック-

この手法が完全に活気がないというわけではありませんが、確かに、検出するのは簡単ではありません。 これを、SamSamRansomwareとOperationCobaltKittyという2つの一般的な攻撃の助けを借りて説明しましょう。 前者はセミファイルレスでしたが。 この攻撃では、実行時に復号化されたため、最初のスクリプトがないとペイロードを分析できませんでした。 さらに、作成者側のパスワードも必要です。 Operation Cobalt Kittyと言えば、悪意のあるPowerShellを使用してアジアの企業を6か月近く標的にしたファイルレス攻撃でした。 より具体的には、 スピアフィッシング 電子メールは、40を超えるサーバーとPCに侵入するために使用されました。

ファイルマルウェアからシステムをどのように防御できますか?

ファイルレスマルウェアは、ウイルス対策ソリューション((その点では弱いもの)を打ち負かすことができますが、コンピューターにウイルス対策ソリューションをインストールするべきではないという意味ではありません。MicrosoftのWindowsセキュリティを含むほとんどのウイルス対策ソリューションは、 PowerShell(存在する場合)。以下に、ファイルレスマルウェアを可能な限り回避するために実行する必要のあるいくつかの注意深い手順を示します。

  • 何よりもまず、どのWebサイトでも疑わしいリンクをクリックしないでください。 信頼できないWebサイトにアクセスしないでください。
  • コンピューター上のさまざまなアプリケーションを更新します、特にマイクロソフトからのもの。
  • 2つのアンチウイルス保護を使用することをお勧めします。 使用できます Microsoft Defender また、Windowsオペレーティングシステムのアンチウイルス保護のプライマリまたはセカンドレイヤーとして、T9アンチウイルスを選択できます。

このアンチウイルスアプリケーションの注目すべき機能のいくつかを次に示します–

  • さまざまな悪意のある脅威に対するリアルタイムの保護。
  • PUP、ゼロデイ脅威、トロイの木馬などに対する保護。
  • 新たな脆弱性の除去。
  • 脅威を取り除くための複数のスキャン。
  • 希望する時間にスキャンをスケジュールします。
  • 未知のファイルに対するエクスプロイト保護。
  • 不要なスタートアップアイテムを一掃できます。
  • アンチウイルスユーティリティは軽量です。

T9アンチウイルスはどのように機能しますか?

1.T9アンチウイルスをダウンロードしてインストールします

t9-アンチウイルス

2.アンチウイルスにアップデートをインストールさせます。

スキャン

3.オレンジ色をクリックします 今スキャンして ボタン。

今スキャンして

4. T9アンチウイルスは、差し迫った脅威を探します。

クイックスキャン

まとめ

マルウェアはさまざまな形や強度で出現する可能性があり、Fileless Malwareからわかるように、攻撃者は防御を打ち負かすために絶えず攻撃を強化しています。 ですから、あなたが誰であろうと、本格的な企業であろうと個人であろうと、決して警戒を怠らないことが重要です。 あなたが読んだものが好きなら、それを高く評価して、あなたの友人やあなたが気にかけているすべての人とそれを共有してください。

よくある質問

Q.1。 ファイルレスマルウェアの例は何ですか?

ファイルレスマルウェアの注目すべき例には、Code Red Worm(2001)、SQL Slammer(2003)、Operation Cobalt Kitty、Stuxnet(2010)、UIWIX(2017)、RamnitBankingTrojanなどがあります。

Q.2。 ファイルレスウイルスとは何ですか?

ファイルレスウイルスまたはファイルレスマルウェアは、従来の実行可能ファイルを使用して攻撃を実行するのではなく、オペレーティングシステムと正規のWindowsアプリケーションを悪用してWindowsコンピュータを攻撃します。

Q.3。 ワームはファイルレスマルウェアですか?

ファイルレスマルウェアとして分類された最初のマルウェアは、2001年に蔓延したCode Red Wormでした。これは、Microsoftのインターネットインフォメーションサービス(IIS)を実行しているコンピューターを攻撃しました。 メモリのみのマルウェアであったもう1つの人気のある作品は、Duqu2.0でした。

Q.4。 Windows Defenderはファイルレスマルウェアを検出しますか?

Microsoftはまた、Windows PowerShellなどの正規のプログラムからの不規則なアクティビティを検出できるように、WindowsDefenderをアップグレードしました。 Microsoft Defenderには、ウイルス対策スキャンインターフェイス(AMSI、メモリスキャン、動作監視、およびブートセクター保護)が付属しています。これらの助けを借りて、ファイルレスマルウェアを阻止することが期待できます。

The post ファイルレスマルウェア-それについて知っておくべきことすべて appeared first on Gamingsym Japan.