ファイルレスランサムウェアについて知っておくべきこと

ランサムウェア市場は進化しています。新しい種類の悪意のあるエージェントが登場しました。ステルスが特徴で、多くの通信会社、政府機関、銀行などで被害者になっています。これらの攻撃により、世界中の企業のIT部門は警戒を怠らないようになっています。安全でない電子メールの添付ファイルを開かないようにし、疑わしいWebサイトやサードパーティのアプリにアクセスしないようにするために、詳細な警告がワーカーに発行されました。ファイルレスまたはマルウェアフリーのランサムウェアとして技術的に知られているこれらのツールは、主要な脅威です。 MicrosoftのPowerShellのスクリプト言語を使用して、マクロを介して実行されているドキュメントやアプリケーションを使用する組織をターゲットにしています。.


ファイルレスランサムウェアについて知っておくべきこと

ファイルレスランサムウェアについて知っておくべきこと

PowerShellとは?

タスク自動化指向のプログラミング言語であるPowerShellは、100以上のコマンドラインツールとともにMS OSで使用されています.

ファイルレスランサムウェアはPowerShellに対して何をしますか?

ランサムウェアは、ファイルの暗号化にPowerShellベースのスクリプトまたはマクロを使用します。これは、データベースのファイル暗号化を実行する従来のランサムウェアとは異なります.

ファイルレス攻撃の概要

史上最大のハッキングの中には、ファイルレスで実行されたものがあります。 2016年、誰かが民主党全国委員会(DNC)からいくつかの文書を盗み、その文書はその年の大統領選挙に影響を与えるために解放されました。これは、リンクが侵害されたフィッシング電子メールがDNC労働者に配信されたことにより行われました。クリックされると、攻撃はPowerShellとWMIを介して機能するようになりました.

Charles Gaughfによると、オンラインセキュリティNPOである(ISC)²のセキュリティリードであるファイルレス攻撃は、通常、フィッシングリンクとドライブバイウェブサイトによってホストされています。.

ファイルレスメディアを使用した別の攻撃は、2017年の初めに40か国以上の140を超える銀行や金融機関を攻撃しました。攻撃者は、パッチが適用されていないサーバーを使用してシステムに侵入しました.

次に、PowerShellスクリプトとWindowsレジストリを使用して、妥協するコードをメモリにロードしました。.

さらに、攻撃者は、NETSHやSCなどのコマンドラインユーティリティで構成される標準のシステムユーティリティを使用してシステムを制御しました.

このリモートアクセスにより、メモリに常駐するATMitchマルウェアをセットアップできました。これはATMで行われ、ATMは現金を排出するように命令されました。攻撃者はこの現金をつかんで立ち去りました。どのシステムにもファイルがなかったため、侵害の検出は非常に困難でした.

ファイルレスランサムウェアがシステムに侵入する2つの主要な方法

攻撃者は、電子メールを介して生成されるフィッシング攻撃を使用して、マクロをシステムメモリにスクリプトすることができます。これは、自動生成された身代金要求とデータ暗号化につながります.

2番目の方法は、労働者がアクセスする安全でないWebサイトを経由する方法です。これにより、攻撃者はスクリプトを介してRAMを標的にすることができます。これにより、彼らは情報にアクセスし、暗号通貨の支払いを要求できます。そうでなければ、彼らのデータは暗号化され、役に立たなくなります.

ファイルレス攻撃のタイプ

あなたが知っておくべき4つの基本的な種類のファイルレスランサムウェアがあります:

  • メモリ限定攻撃: これらの攻撃は、Windowsサービスのメモリにアクセスして、その範囲を広げます。 2001年には市場に到着しました。ただし、システムを再起動することで解決できます。.
  • ファイルレスの永続化手法: このような攻撃は、ハードディスクが感染していない場合でも、単純な再起動ではクリアできません。これは、Windowsレジストリを使用して感染スクリプトを保存することで行われ、再起動後も感染を再開します.
  • 使い捨てツール: このような攻撃は、Windowsシステムアプリに感染することで実行されます。これは、ターゲットシステムにアクセスしたり、データを攻撃者に転送したりするために行われます.
  • ポータブルでない実行可能(PE)ファイル攻撃: このような攻撃は、ツールとスクリプトの両方を使用して、PowerShell、CScript、またはWScriptを介して影響を与えます.

ランサムウェアはなぜそれほど人気が​​あるのか?

ランサムウェアは使いやすいです。通常、企業は、データ損失のリスクを冒したり、評判を落としたりする代わりに、身代金を支払う前に二度と考えません。暗号通貨の台頭により、ランサムウェアの実行可能性も高まりました。匿名の支払い方法を使用すると、ハッカーは被害者からお金を引き出す手段を見つけることが困難になります。同時に、暗号通貨転送は元に戻すことができないため、効果的で安全です.

ファイルレスランサムウェアをユニークにするもの?

ファイルレスランサムウェアは、検出が難しいため独特です。これは、ネイティブスクリプト言語またはRAMに感染​​コードが挿入されるためです。これにより、メモリに隠れて、そこからコマンドを実行できます.

ファイルレスランサムウェア攻撃は何を伴うか?

  1. ファイルレスランサムウェアは、商用グレードのウイルス対策を使用しても事実上追跡できません.
  2. これらの攻撃により、システムがサイバー犯罪者に悪用される可能性が広がります。検出されずにデータの盗難/暗号化を含め、ネットワークまたはデバイスをハッキングすると、あらゆる種類のことを実行できます.
  3. また、侵害されたデバイスを複数の攻撃にさらします。これは、攻撃者が侵入先のデバイスから情報を取得しながらスクリプトを作成できるためです。.

ファイルレスランサムウェアから身を守る

ファイルレスランサムウェアは通常のウイルス対策ソフトウェアでは事実上検出されませんが、それらを防ぐためにできることはたくさんあります。最初に行うことは、重要なデータが誰からもアクセスされないようにすることです。 2つ目は、人為的エラーによる脆弱性が公開されないようにすることです.

これは、従業員がソーシャルエンジニアリングについて、そしてこれをどのように防ぐことができるかを知る必要があることを意味します。もちろん、最新のセキュリティパッチをすべて備えたアップデートされたシステムも必要です。ファイルレスランサムウェアからセキュリティをさらに強化するために、以下に示すいくつかのヒントと提案があります。

その他のヒント

  • データがバックアップされていることを確認します。 保護された状態を保つには、攻撃に注意することがすべてです。誰かがあなたのデータを追跡し、重要なファイルをバックアップし続けていることを確認する必要があります。これにより、違反の影響を受けない復元ポイントにアクセスすることで、このような攻撃を解除できます。.
  • 警戒を怠らない: すべてのマクロをオフにします。それ以外の場合は、不明なファイルを開かないでください。疑問がある場合は、IT管理者に連絡してください.
  • 悪意のあるメールを阻止, Webページ、およびブラウザーとサーバーを介した対話。悪意のある可能性のある電子メールを処理するときは、慎重に従う必要があります。本物ではないと思われるもの、または少しでも陰気ささえ感じられるものはすべてブロックする.  

少し注意すれば、あらゆる種類のランサムウェア(通常またはファイルなし)から保護されたままになることができます.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me