人気のタグ
おすすめのサイト
企業ニュース

Kaspersky Labがメモリーに潜み痕跡を消す”見えない”サイバー攻撃を発見

2017.02.25

Kaspersky Labのグローバル調査分析チーム(GReAT)のセキュリティリサーチャーは、一連の「見えない」標的型攻撃を発見した。この攻撃は、広く利用されている侵入テストツールや管理ツール、Windowsでタスクの自動化に使われるPowerShellフレームワークなど、正規のソフトウェアのみを用いることが特徴。

マルウェアはコンピューターのハードディスクではなくメモリの中に潜み、ホワイトリストによる検知を回避し、フォレンジック調査時に手がかりとなる痕跡やマルウェアの検体をほとんど残さない。マルウェアは感染デバイスの情報を収集するが、コンピューターの再起動時にその痕跡は消去されるという。

2016年末、Kaspersky Labのセキュリティリサーチャーは、独立国家共同体(CIS)の複数の銀行から、本来存在しないはずの侵入テスト用のMeterpreterモジュールを、サーバーのメモリ内で発見したという連絡を受けた。このMeterpreterを悪用する例は最近、頻繁に見つかっている。調査の結果、このMeterpreterのコードは、PowerShellスクリプトをはじめとする多数の正規ユーティリティと組み合わされ、攻撃者が標的のシステムを遠隔操作できるようにメモリの中に隠れてシステム管理者のパスワードを収集していた。この攻撃の最終目的は、金融プロセスへのアクセスだったと推測される。

Kaspersky Labはその後の調査の結果、この攻撃が40か国に及び、さまざまな事業分野の140を超える組織のネットワークが攻撃を受けていることを突き止めた。標的となった組織の大半は、米国、フランス、エクアドル、ケニア、英国、ロシアに集中していた。

オープンソース化されたエクスプロイトコードの使用、Windows用の共通ユーティリティ、未知のドメインによって、犯罪組織の特定はほぼ不可能なうえに、犯人が1つの組織なのか、同じツールを共有している複数の組織なのかも不明。また、こういったツールが、攻撃の解明をさらに難しくしている。通常のインシデント対応プロセスでは、攻撃者がネットワークに残した痕跡やマルウェアの検体を手掛かりに調査する。

@DIMEのSNSアカウントをフォローしよう!

DIME最新号

最新号
2019年7月16日(火) 発売

DIME最新号の特別付録は超強力なUSBモバイル扇風機!大特集は「夏の新製品辛口評価テスト」!

人気のタグ

おすすめのサイト

ページトップへ

ABJマークは、この電子書店・電子書籍配信サービスが、著作権者からコンテンツ使用許諾を得た正規版配信サービスであることを示す登録商標(登録番号 10401024号)です。詳しくは[ABJマーク]または[電子出版制作・流通協議会]で検索してください。