TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 に関する「個人」の調査・研究・参照ログ

ファイルレスマルウェア (まとめ)

【目次】

概要

【辞書】

◆Fileless malware (Wikipedia)
https://en.wikipedia.org/wiki/Fileless_malware

【最新状況】

◆A new secret stash for “fileless” malware (SecureList, 2022/05/04)
[「ファイルレス」マルウェアの新たな秘密の隠し場所]
https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/
https://malware-log.hatenablog.com/entry/2022/05/04/000000

◆Windowsのイベントログをコードの隠し先として悪用、サイバー攻撃で初確認 (マイナビニュース, 2022/05/09 07:47)
https://news.mynavi.jp/techplus/article/20220509-2340758/
https://malware-log.hatenablog.com/entry/2022/05/09/000000_3

◆Windowsイベントログを利用したファイルレスマルウェアの手法が観測される (Gigazine, 2022/05/10 12:00)
https://gigazine.net/news/20220510-fileless-malware-windows-event-logs/
https://malware-log.hatenablog.com/entry/2022/05/10/000000_3

記事

【ニュース】

■2014年

◆シスコ、シグネチャレスのマルウェア対策を提供 (ITmedia, 2014/03/05 14:20)
https://www.itmedia.co.jp/enterprise/articles/1403/05/news092.html
http://malware-log.hatenablog.com/entry/2014/03/05/000000_1

◆「PowerShell」を悪用するランサムウェア - Tor上でBitcoinによる支払を強要 (Security NEXT, 2014/06/04)
http://www.security-next.com/049313
http://malware-log.hatenablog.com/entry/2014/06/04/000000_1

■2016年

◆2016年はAPTが減り、ファイルレスの見つけづらい攻撃へ - カスペルスキー (マイナビニュース, 2016/01/09)
http://news.mynavi.jp/news/2016/01/09/053/
https://malware-log.hatenablog.com/entry/2016/01/09/000000

◆ステルスマルウェアやモバイルバンキング型トロイの木馬を確認--四半期レポート(マカフィー)(NetSecurity, 2016/01/15 08:00)
https://scan.netsecurity.ne.jp/article/2016/01/15/37943.html
https://malware-log.hatenablog.com/entry/2016/01/15/000000_5

◆「Windowsの操作に最も便利なPowerShell」製ランサムウェアの脅威 (TechTarget, 2016/05/26 08:00)
http://techtarget.itmedia.co.jp/tt/news/1605/26/news02.html
https://malware-log.hatenablog.com/entry/2016/05/26/000000_4

◆マルウェア解析奮闘記 Powershell多用マルウェアの解析 (マクニカ, 2016/10/20)
http://blog.macnica.net/blog/2016/10/powershell-38fc.html
https://malware-log.hatenablog.com/entry/2016/10/20/000000_1

◆「非マルウエア攻撃」が急増中 OSの正規アプリなど悪用 (COMPUTERWORLD, 2016/12/19)
http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/121900312/?ST=cm-cloud
https://malware-log.hatenablog.com/entry/2016/12/19/000000_4

◆パワーシェルを利用してランサムウェアをダウンロードするマルウェア (Ahnlab, 2016/12/27)
http://mjp.ahnlab.com/site/securitycenter/securitycenterboard/securityInsightView.do?seq=2320&curPage=
https://malware-log.hatenablog.com/entry/2016/12/27/000000_6


■2017年

◆Fileless attacks against enterprise networks (SecureList, 2017/02/18 08:58)
https://securelist.com/fileless-attacks-against-enterprise-networks/77403/
https://malware-log.hatenablog.com/entry/2017/02/18/000000
<<>>
◆ランサムウェアが前期比約71%減、しかし油断は禁物――マカフィー「McAfee Labs脅威レポート」を発表 (@IT, 2017/04/20 20:50)
http://www.atmarkit.co.jp/ait/articles/1704/18/news121.html
https://malware-log.hatenablog.com/entry/2017/04/20/000000_2

◆HARD TARGET: FILELESS MALWARE (threat post, 2017/04/25 07:00)
https://threatpost.com/hard-target-fileless-malware/125054/
https://malware-log.hatenablog.com/entry/2017/04/25/000000_3

◆2016年は新種ランサムが88%増 - ただし2016年4Qは7割減 (Security NEXT, 2017/04/27)
http://www.security-next.com/080783
https://malware-log.hatenablog.com/entry/2017/04/27/000000

◆痕跡を残さないマルウェアが増加の傾向、検出がより難しく (マイナビニュース, 2017/04/27)
http://news.mynavi.jp/news/2017/04/27/048/
https://malware-log.hatenablog.com/entry/2017/04/27/000000_5

◆Fileless Malware Spreads Overseas Without a Single Click (Tech Talk, 2017/06/12)
https://techtalk.pcpitstop.com/2017/06/12/fileless-malware-what-is-it/
https://malware-log.hatenablog.com/entry/2017/06/13/000000_6

◆クリックなしで感染するファイルレスマルウェアが拡散中 (Tech Talk, 2017/06/13)
https://techtalk.pcmatic.jp/20170613161324/
https://malware-log.hatenablog.com/entry/2017/06/13/000000_6

◆ファイルレスマルウェア入門--システムに痕跡を残さない厄介な脅威 (TechRepublic Japan, 2017/07/05 07:30)
https://japan.techrepublic.com/article/35103730.htm
https://malware-log.hatenablog.com/entry/2017/07/05/000000_1

◆ほぼ完全なファイルレスマルウェア--トレンドマイクロが確認 (ZDNet, 2017/08/14 14:22)
https://japan.zdnet.com/article/35105733/
https://malware-log.hatenablog.com/entry/2017/08/14/000000_5

◆より高度な「ファイルレス活動」を実現した一連のマルウェアを確認 (Trendmicro, 2017/08/14)
http://blog.trendmicro.co.jp/archives/15653
https://malware-log.hatenablog.com/entry/2017/08/14/000000_1

◆ファイル無しで活動する高度なマルウェア確認、痕跡も少ない「JS_POWMET」 (MDN, 2017/08/15)
https://www.mdn.co.jp/di/newstopics/54567/
https://malware-log.hatenablog.com/entry/2017/08/15/000000_2

◆「ファイルレス」見えないサイバー攻撃急増 政府・金融機関など標的 (産経新聞, 2017/08/20 06:38)
http://www.sankei.com/affairs/news/170820/afr1708200002-n1.html
https://malware-log.hatenablog.com/entry/2017/08/20/000000

◆「侵入」「潜伏」の2段階攻撃 手口の全体像隠す (産経新聞, 2017/08/20 06:43)
http://www.sankei.com/affairs/news/170820/afr1708200003-n2.html
https://malware-log.hatenablog.com/entry/2017/08/20/000000

◆「ファイルレス」見えないサイバー攻撃急増 政府・金融機関など標的 (ITmedia, 2017/08/21 07:09)

送りつけたメールにコンピューターウイルスの本体を添付せず感染させる「ファイルレス」と呼ばれる新たなサイバー攻撃が、今年に入って国内で急増している

http://www.itmedia.co.jp/news/articles/1708/21/news050.html
https://malware-log.hatenablog.com/entry/2017/08/21/000000

◆ファイルレスマルウェアを知る--姿の見えない脅威に対処するには (TechRepublic japan, 2017/09/04 07:45)
https://japan.techrepublic.com/article/35106464.htm
https://malware-log.hatenablog.com/entry/2017/09/04/000000

◆実体を持たない「ファイルレスマルウェア」による攻撃が急増、その仕組みと対策は? (ITPro, 2017/09/20)
http://itpro.nikkeibp.co.jp/atclact/activewp/b/17/09/06/00430/
https://malware-log.hatenablog.com/entry/2017/09/20/000000_7

◆検出をすり抜ける脅威、ファイルレス攻撃が増加(上) (COMPUTERWORLD, 2017/10/16)
http://itpro.nikkeibp.co.jp/atcl/idg/17/101000079/101000001/
https://malware-log.hatenablog.com/entry/2017/10/16/000000_12

◆検出をすり抜ける脅威、ファイルレス攻撃が増加(下)(COMPUTERWORLD, 2017/10/20)
http://itpro.nikkeibp.co.jp/atcl/idg/17/101000079/101000003/
https://malware-log.hatenablog.com/entry/2017/10/20/000000_8

◆「ファイルレス攻撃」が深刻化--ウイルス対策の見直しも (ZDNet, 2017/11/16)
https://japan.zdnet.com/article/35110549/
https://malware-log.hatenablog.com/entry/2017/11/16/000000_7

◆組織を脅かす「ファイルレス攻撃」のリスク増大 従来比で攻撃成功率が10倍 (ITmedia, 2017/11/16 10:15)
従来型のエンドポイントセキュリティの隙を突くファイルレス攻撃が台頭し、攻撃が成功した事例の77%でファイルレスの手口が使われていた
http://www.itmedia.co.jp/enterprise/articles/1711/16/news057.html
https://malware-log.hatenablog.com/entry/2017/11/16/000000_4


■2018年

◆Microsoft、ファイルレスマルウェアの仕組みを説明 (マイナビニュース, 2018/01/25 17:17)
https://news.mynavi.jp/article/20180125-576134/
https://malware-log.hatenablog.com/entry/2018/01/25/000000

◆ビットコインの無断採掘マルウェアに注意--ファイルレス型が多く検出困難 (CNet, 2018/02/07 16:06)
https://japan.cnet.com/article/35114379/
https://malware-log.hatenablog.com/entry/2018/02/07/000000_4

◆ファイルレスマルウェアの脅威!仕組みと感染経路からみる実践的対策 (McAfee, 2018/03/12)
https://blogs.mcafee.jp/what-is-fileless-malware
https://malware-log.hatenablog.com/entry/2018/03/12/000000_9

◆ファイルレスでウイルス対策アプリを巧妙な手口で回避するWindows向けマイナーマルウェア「GhostMiner」が発見される!感染すると勝手にMoneroをマイニング (S-MAX, 2018/03/29 19:25)
http://s-max.jp/archives/1743179.html
https://malware-log.hatenablog.com/entry/2018/03/29/000000_10

◆攻撃成功率は10倍! 実態のない「ファイルレスマルウェア」にどう対処するか (マイナビニュース, 2018/04/16 13:00)
https://news.mynavi.jp/kikaku/20180416-612280/
https://malware-log.hatenablog.com/entry/2018/04/16/000000

◆検知できない「ファイルレスマルウェア」対策の第一歩 (TechTarget, 2018/04/20 08:00)

PowerShellやWMIなど、OSに組み込まれた「OSに信頼されている」プログラムに不正なコマンドを実行させるファイルレスマルウェアが注目されている。「ファイルレス」故に生じる問題とは?

http://techtarget.itmedia.co.jp/tt/news/1804/20/news04.html
https://malware-log.hatenablog.com/entry/2018/04/20/000000_3

◆どうする? 検知できない「ファイルレスマルウェア」 (TechTarget, 2018/04/28)
http://techtarget.itmedia.co.jp/tt/news/1804/28/news02.html
https://malware-log.hatenablog.com/entry/2018/04/28/000000

◆FireEye、悪意あるPowerShellをAIと機械学習で検出 (マイナビニュース, 2018/07/12 09:17)
https://news.mynavi.jp/article/20180712-662586/

◆検出が困難 Windows狙う「ファイルレス攻撃」が急増 (ASCII.jp, 2018/07/30 20:50)
http://ascii.jp/elem/000/001/718/1718560/
https://malware-log.hatenablog.com/entry/2018/07/30/000000_2

◆ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染 (McAfee Blog, 2018/07/30)
https://blogs.mcafee.jp/cactustorch-fileless-threat
https://malware-log.hatenablog.com/entry/2018/07/30/000000_6

◆ファイルレスのコインマイナーを発見(カスペルスキー)(NetSecurity, 2018/08/01 08:00)
https://scan.netsecurity.ne.jp/article/2018/08/01/41239.html
https://malware-log.hatenablog.com/entry/2018/08/01/000000_9

◆ファイルレス攻撃が急増中、McAfee Labsが指摘 (ComputerWorld, 2018/08/03)
https://tech.nikkeibp.co.jp/it/atcl/idg/14/481542/080300536/
https://malware-log.hatenablog.com/entry/2018/08/03/000000_8

◆Windowsを“凶器”として悪用? 「ファイルレス攻撃」の恐ろしさ (ITmedia, 2018/12/18 08:00)

危険な動作をするファイルをマルウェアだと捉え、検知して対処する――。こうした従来型のマルウェア対策の考え方が通用しない、厄介な攻撃手法が広がりつつある

https://www.itmedia.co.jp/enterprise/articles/1812/18/news005.html
https://malware-log.hatenablog.com/entry/2018/12/18/000000_12


■2019年

◆ファイルレス活動が前年同期比3.6倍に増加 - トレンドマイクロ (マイナビニュース, 2019/09/05 15:18)
https://news.mynavi.jp/article/20190905-889320/
https://malware-log.hatenablog.com/entry/2019/09/05/000000_8

◆Microsoft、Node.js&Windows PowerShellを用いたファイルレスマルウェアに警鐘 (マイナビニュース, 2019/10/01 17:58)
https://news.mynavi.jp/article/20191001-902682/
https://malware-log.hatenablog.com/entry/2019/10/01/000000_2


■2020年

◆セキュリティ対策ソフトも見つけにくい「ファイルレスマルウェア」とは!? (ASCII.jp, 2020/01/17 09:00)
https://ascii.jp/elem/000/002/007/2007121/
https://malware-log.hatenablog.com/entry/2020/01/17/000000_3

◆不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向 (財経新聞, 2020/01/30 18:00)
https://www.zaikei.co.jp/article/20200130/550976.html
https://malware-log.hatenablog.com/entry/2020/01/30/000000_6

◆Microsoft、Azure DefenderでLinux用ファイルレス攻撃検出機能を提供 (マイナビニュース, 2020/12/03 09:38)
https://news.mynavi.jp/article/20201203-1550640/
https://malware-log.hatenablog.com/entry/2020/12/03/000000_6


■2021年

◆MSBuild経由のマルウェア感染が確認される ファイルレスで侵入、現在も攻撃は継続中 (ITmedia, 2021/05/17 13:24)

2021年4月に入ってから、サイバー犯罪者はMSBuildを使ってファイルレスでマルウェアの感染を広げる新しい手段を見つけたようだ。ファイルレス攻撃はセキュリティソフトウェアによる検出が難しいため警戒が必要だ

https://www.itmedia.co.jp/enterprise/articles/2105/17/news098.html
https://malware-log.hatenablog.com/entry/2021/05/17/000000_4

◆アンチウイルス製品では検知困難な「マルウェアフリー」の攻撃が増加 “ボディーガードのような守り”が防御の鍵に (ITmedia, 2021/06/29 10:00)
https://www.itmedia.co.jp/news/articles/2106/29/news004.html
https://malware-log.hatenablog.com/entry/2021/06/29/000000

◆検知困難な「ファイルレスマルウェア」、過去には三菱電機も被害に 対策の鍵は「振る舞い検知」 専門家が解説 (ITmedia, 2021/07/16 19:17)
https://www.itmedia.co.jp/news/articles/2107/16/news166.html
https://malware-log.hatenablog.com/entry/2021/07/16/000000_3

◆Windowsユーザーは注意 セキュリティソフトウェアの検出を回避する新種のマルウェアが見つかる (ITmedia, 2021/12/18 07:00)
https://www.itmedia.co.jp/enterprise/articles/2112/18/news025.html
https://malware-log.hatenablog.com/entry/2021/12/18/000000_4

◆New stealthy DarkWatchman malware hides in the Windows Registry (BleepingComputer, 2021/12/19 11:02)
https://www.bleepingcomputer.com/news/security/new-stealthy-darkwatchman-malware-hides-in-the-windows-registry/
https://malware-log.hatenablog.com/entry/2021/12/19/000000_2


■2022年

◆Windowsのイベントログをコードの隠し先として悪用、サイバー攻撃で初確認 (マイナビニュース, 2022/05/09 07:47)
https://news.mynavi.jp/techplus/article/20220509-2340758/
https://malware-log.hatenablog.com/entry/2022/05/09/000000_3

◆Windowsイベントログを利用したファイルレスマルウェアの手法が観測される (Gigazine, 2022/05/10 12:00)
https://gigazine.net/news/20220510-fileless-malware-windows-event-logs/
https://malware-log.hatenablog.com/entry/2022/05/10/000000_3

【ブログ】

■2015年

◆Without a Trace: Fileless Malware Spotted in the Wild (Trendmicro, 2015/04/20)
https://blog.trendmicro.com/trendlabs-security-intelligence/without-a-trace-fileless-malware-spotted-in-the-wild/
http://malware-log.hatenablog.com/entry/2015/04/20/000000_3

◆ファイルを利用しない不正プログラムの感染を確認、検出回避の手法を向上 (Trendmicro, 2015/04/22)
http://blog.trendmicro.co.jp/archives/11345
https://malware-log.hatenablog.com/entry/2015/04/22/000000_2


■2016年

◆高度化するファイルレス攻撃に対処せよ (McAfee, 2016/02/22)
http://blogs.mcafee.jp/post-e8b5
https://malware-log.hatenablog.com/entry/2016/02/22/000000


■2017年

◆What Is a Non-Malware (or Fileless) Attack? (Carbon Black, 2017/02/10)
https://www.carbonblack.com/2017/02/10/non-malware-fileless-attack/
https://malware-log.hatenablog.com/entry/2017/03/09/000000_3

◆Windows Defender ATP でクロスプロセス インジェクションを発見する (Microsoft(日本のセキュリティチーム), 2017/04/04)
https://blogs.technet.microsoft.com/jpsecurity/2017/04/04/uncovering-cross-process-injection-with-windows-defender-atp/
https://malware-log.hatenablog.com/entry/2017/04/04/000000_4

◆非マルウェア攻撃 vs. Cb Defense (Carbon Black., 2017/05/28)
https://www.carbonblack.co.jp/2017/05/28/%E9%9D%9E%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E6%94%BB%E6%92%83-vs-cb-defense/
https://malware-log.hatenablog.com/entry/2017/05/28/000000

◆LNKファイルを利用してマルウェアをダウンロードする手法が増加中 (Trendmicro, 2017/05/31)
http://blog.trendmicro.co.jp/archives/15091
https://malware-log.hatenablog.com/entry/2017/05/31/000000_4

◆3 Key Findings from the Upcoming 2017 State of Endpoint Security Risk Report (Barkly, 2017/11/16)
https://blog.barkly.com/2017-state-of-endpoint-security-risk-report-preview

◆防衛関連のファイルを装うマクロマルウェアの新しい手口 (マクニカネットワークス, 2017/12/04)
http://blog.macnica.net/blog/2017/12/post-8c22.html
https://malware-log.hatenablog.com/entry/2017/12/04/000000_4

◆Windows Defender Advanced Threat Protection で反射型の DLL 読み込みを検出 (Microsoft, 2017/12/25)
https://blogs.technet.microsoft.com/jpsecurity/2017/12/25/detecting-reflective-dll-loading-with-windows-defender-atp/
https://malware-log.hatenablog.com/entry/2017/12/25/000000_4

■2018年

◆CactusTorch Fileless Malware (SystemTek, 2018/08/24)
https://www.systemtek.co.uk/2018/08/cactustorch-fileless-malware/
http://malware-log.hatenablog.com/entry/2018/08/24/000000_8

◆はい、これで見えますね: ファイルレス マルウェアをさらけ出す (Microsoft, 2018/02/06)
https://blogs.technet.microsoft.com/jpsecurity/2018/02/06/now-you-see-me-exposing-fileless-malware/
https://malware-log.hatenablog.com/entry/2018/02/06/000000_2


■2019年

◆ブラジルの銀行ユーザを狙いバンキングトロジャンを送り込む攻撃を解析、「ファイルレスな活動」も確認 (Trendmicro, 2019/03/13)
https://blog.trendmicro.co.jp/archives/20590
https://malware-log.hatenablog.com/entry/2019/03/13/000000_6


■2022年

◆A new secret stash for “fileless” malware (SecureList, 2022/05/04)
[「ファイルレス」マルウェアの新たな秘密の隠し場所]
https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/
https://malware-log.hatenablog.com/entry/2022/05/04/000000

【資料】

■2014年

◆Remote Library Injection (Skape & Jarkko Turkulainen, 2014)
http://www.hick.org/code/skape/papers/remote-library-injection.pdf
http://malware-log.hatenablog.com/entry/2014/01/01/000000_2


■2016年

◆Non-Malware Attacks and Ransomware Take Center Stage in 2016 (Carbon Black, 2016/12/14)
https://www.carbonblack.com/wp-content/uploads/2016/12/16_1214_Carbon_Black-_Threat_Report_Non-Malware_Attacks_and_Ransomware_FINAL.pdf
https://malware-log.hatenablog.com/entry/2016/12/14/000000

■2017年

◆The 2017 State of Endpoint Security Risk Report (Barkly, 2017/11/16)
https://www.barkly.com/ponemon-2018-endpoint-security-statistics-trends

【まとめ記事】

■2021年

◆ DarkWatchman (まとめ)
https://malware-log.hatenablog.com/entry/DarkWatchman

【予測】

■2018年

◆不正チャットボットやファイルレスマルウェアの進化など2019年における情報セキュリティ動向予測 - ウォッチガード (マイナビニュース, 2018/11/27 16:10)
https://news.mynavi.jp/article/20181127-731313/
https://malware-log.hatenablog.com/entry/2018/11/27/000000_3

◆ファイルレスマルウェア、不正AIチャットボットなど――ウォッチガードが2019年度セキュリティ動向8項目を予測 (EnterpriseZine, 2018/11/27 16:00)
https://enterprisezine.jp/article/detail/11451
https://malware-log.hatenablog.com/entry/2018/11/27/000000_3

【図表】

■2018年


CactusTorchの亜種

DotNetToJScript.exeを利用して悪意のあるJavaScriptファイルを作成
出典: http://ascii.jp/elem/000/001/718/1718560/


増加傾向を続けるPowerShellを使ったサイバー攻撃

攻撃に使われているPowerShellの利用例
出典: https://news.mynavi.jp/article/20180712-662586/


出典: https://news.mynavi.jp/kikaku/20180416-612280/


出典: https://blogs.mcafee.jp/what-is-fileless-malware


2018年1月に検出されたビットコイン無断マイニングマルウェア(出典:Quick Heal Technologies)
出典: https://japan.cnet.com/article/35114379/


■2019年


ファイルレス活動を示唆する挙動の検出イベント数推移(全世界)

マクロ機能を悪用するPowloadの検出台数(日本と全世界)
出典: https://news.mynavi.jp/article/20190905-889320/


■2021年





出典: https://www.itmedia.co.jp/news/articles/2107/16/news166.html

【関連情報】

◆DarkWatchman (まとめ)
https://malware-log.hatenablog.com/entry/DarkWatchman

関連情報

【関連まとめ記事】

全体まとめ

◆攻撃手法 (まとめ)
https://malware-log.hatenablog.com/entry/Attack_Method

◆偽装手法 (まとめ)
https://malware-log.hatenablog.com/entry/Impersonation_Method


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023