Malwarebytesはこのほど、「How ransomware operators try to stay under the radar|Malwarebytes」において、脅威アクターがサイバー攻撃を実行する際に侵害作業を隠蔽している手口について解説した。

  • How ransomware operators try to stay under the radar|Malwarebytes

    How ransomware operators try to stay under the radar|Malwarebytes

暗号化を行わない手法

ランサムウェア攻撃ではファイルの暗号化処理が行われるが、セキュリティソリューションが暗号化を検出してもすでに手遅れの場合が多い。しかしながら、一部の脅威アクターは検出を誘発しかねない暗号化処理を嫌い、暗号化を実行せずにデータの窃取のみを実行することがある。

また、脅威アクターは侵入を試みる際、フィッシングメールを送信し、内部の従業員がだまされてマルウェアに感染するのを期待して待つ。感染してからマルウェアが検出されて対策が行われるまでの時間は短いため、脅威アクターはできるかぎり検出を遅らせる努力を行う。このように、脅威アクターは検出を回避するためにさまざまな努力を行い、進化してきた。

マルウェアを使わない手法

脅威アクターは検出の可能性のあるマルウェアの利用を回避するため、脆弱性を悪用したり、有効な認証情報を不正に入手したりして侵入することがある。この場合、侵入後もマルウェアを使用せず、システムに存在するソフトウェアを悪用してデータを窃取する。このような攻撃手法は環境寄生型(LOTL: Living Off The Land)攻撃と呼ばれる。

この攻撃手法を用いた場合、通常の動作の範囲内で侵害が行われるため、セキュリティチームやセキュリティソリューションは悪意のある活動を検出することが非常に困難となる。

ファイルレスマルウェアの利用、署名付きドライバの悪用

さらに、セキュリティ製品の検出を避ける手法として、マルウェアを標的の環境に保存しない「ファイルレスマルウェア」が使われることがある。これはメモリにマルウェアを直接展開して実行する手法で、実行後に痕跡を環境に残さないことが理想となる。

また、さらに一歩進んだ手法としてセキュリティソリューションを無効化する攻撃手法も開発された。この手法では、署名付きドライバーが悪用される。この攻撃手法を実行するには標的の管理者権限が必要ではあるが、「信頼できるソフトウェア発行元の署名付きドライバ」を使用できれば、セキュリティソリューションの検出を回避したり、無効化したりできる可能性が高まる。