ファイルでもメモリでもない

従来コンピュータウイルスといわれるものは、ファイルに存在するモノでした。
そして、マルウェアと呼ばれるようになったとき、ファイルにだけ存在するものではなくなり、ファイルを使うことなくメモリのみに存在するものも登場しました。
ファイルを使わない方式が猛威を振るう中、この種の脅威についても防御側のツールが対応できるようになってきています。
こうなると攻撃側はどうするでしょうか。
新しい方式が生まれています。

ファイルでもメモリでもない場所に自身を置くものがでてきました。
共通ログファイルシステム(CLFS:Common Log File System)です。
これは、Windowsに搭載される機構の名称で、ユーザーモードまたはカーネルモードで実行されているソフトウェアクライアントが使用できる汎用ログサービスです。
これは、ファイルでもメモリでもない場所であり、現在の多くの防御ツールではまだカバーできていない隠し場所です。
本来この機構は、Windowsがレジストリトランザクションやその他の大量の操作のためにデータを一時的に保存するために使用するコンテナです。
新しく観測されているマルウェアはここを自身のペイロードを保存する場所として使用します。

確認されたマルウェアは、STASHLOGとPRIVATELOGという名称で呼ばれます。
STASHLOGは、利用可能なCLFSコンテナーを選択し、CLFS APIを使用して、Windowsと同じ方法でデータをコンテナーに挿入します。
そのコンテナに挿入されたマルウェアのペイロードがPRIVATELOGです。
これまで確認されているファイルレス攻撃では、マルウェアのペイロードの置き場所はメモリであることが多かったわけですが、そこに新たな隠し場所としてCLFSがでてきたこととなります。

攻撃者はいろいろなタイムゾーンに存在し、いわば24時間体制で新しい攻撃手法をつぎつぎに送り込んできます。
防御側はどう対応していくことが良いでしょうか。
もはや自社のIT部門単独では太刀打ちできるものとは思えません。
防御側の力を合わせて対応していくことが必要な状況となったと思われます。

参考記事(外部リンク):New Malware Uses Novel Fileless Technique to Evade Detection
www.darkreading.com/vulnerabilities-threats/new-malware-uses-novel-fileless-technique-to-evade-detection

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。