【概要】
- 反射型の DLL インジェクション
- 「悪意のある DLL 」がディスクに保存されることなく、プロセスのメモリへ手動で読み込まれる攻撃
- メモリの悪用
- ファイルレスの攻撃コードを悪用し、リモートから標的のマシン上で任意のコードを実行する攻撃
- スクリプトベースの手法
- エンコードされたシェルコードやバイナリを埋め込む
- 実行時にその場で復号
- ディスクに書き込まれることなく .NET オブジェクト経由か API で直接実行
- スクリプトは レジストリに隠され、ディスクに触れることなくネットワーク ストリームから読み込まれたり、攻撃者がコマンドラインから手動で実行
- WMI での持続性
- WMI) レポジトリに悪意のあるスクリプトを格納し、WMI バインドを使って定期的に起動
【ブログ】
◆はい、これで見えますね: ファイルレス マルウェアをさらけ出す (Microsoft, 2018/02/06)
https://blogs.technet.microsoft.com/jpsecurity/2018/02/06/now-you-see-me-exposing-fileless-malware/
【参考情報】
◆HackTool:Win32/Mikatz!dha (Microsoft, 2015/09/15)
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/Mikatz!dha
【関連まとめ記事】
◆ファイルレスマルウェア (まとめ)
https://malware-log.hatenablog.com/entry/FilelessMalware