TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

はい、これで見えますね: ファイルレス マルウェアをさらけ出す

【概要】

  • 反射型の DLL インジェクション
    • 「悪意のある DLL 」がディスクに保存されることなく、プロセスのメモリへ手動で読み込まれる攻撃
  • メモリの悪用
    • ファイルレスの攻撃コードを悪用し、リモートから標的のマシン上で任意のコードを実行する攻撃
  • スクリプトベースの手法
    • エンコードされたシェルコードやバイナリを埋め込む
    • 実行時にその場で復号
    • ディスクに書き込まれることなく .NET オブジェクト経由か API で直接実行
    • スクリプトは レジストリに隠され、ディスクに触れることなくネットワーク ストリームから読み込まれたり、攻撃者がコマンドラインから手動で実行
  • WMI での持続性
    • WMI) レポジトリに悪意のあるスクリプトを格納し、WMI バインドを使って定期的に起動


【ブログ】

◆はい、これで見えますね: ファイルレス マルウェアをさらけ出す (Microsoft, 2018/02/06)
https://blogs.technet.microsoft.com/jpsecurity/2018/02/06/now-you-see-me-exposing-fileless-malware/


【参考情報】

◆HackTool:Win32/Mikatz!dha (Microsoft, 2015/09/15)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/Mikatz!dha


【関連まとめ記事】

◆ファイルレスマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/FilelessMalware


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2019