【IT】現在最も使われるファイルレス攻撃 「侵入」「潜伏」の2段階攻撃 手口の全体像隠す©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
【ファイルレス攻撃】「侵入」「潜伏」の2段階攻撃 手口の全体像隠す
産經新聞:2017.8.20 06:43更新
http://www.sankei.com/affairs/news/170820/afr1708200003-n2.html
http://www.sankei.com/images/news/170820/afr1708200003-p1.jpg
ファイルレス攻撃のウイルス侵入イメージ
ファイルレス攻撃は、偽メールに仕組まれた「侵入型」、内部で情報収集などを行う「潜伏型」と2つの段階に応じて別々の不正プログラム(ウイルス)が使われているのも特徴だ。
片方の攻撃が発覚しても、それが単発の攻撃と分析者に誤認させ、手口の全体像が分からないようにする効果を狙ったものとみられる。
昨年10月ごろ、情報セキュリティー会社「トレンドマイクロ」は、国内で標的型とみられる不審なメールの存在を確認した。
添付ファイルを調べてみると、送信先のパソコンのシステム管理機能PSにファイルのダウンロードを命じるプログラムのみが書かれていた。
どのようなファイルがダウンロード対象なのかまでは不明で、同社は「これだけ見ても何が目的か分からない」と説明する。
あらゆる可能性を考えて粘り強く調査を進めた。
すると、相手のパソコンの機能を利用し、正体が分からないように加工されたウイルスをダウンロードすること、このウイルスがシステム内で活動できるように、PSを操って通常の状態に戻すことなども判明した。
現在、このファイルレス攻撃は国内で使われる遠隔操作型ウイルスの中で「最も活発」(同社)という。
昨年末に旧ソ連諸国にある複数の銀行で、同種の2段階攻撃を仕掛けてくるファイルレス攻撃を確認したロシアの情報セキュリティー会社「カスペルスキーラボ」も調査を進めた。
その結果、米国、南米、欧州など40カ国で計140以上の組織のシステムへの侵入が確認されたという。
同社日本法人の石丸傑(すぐる)分析官は「世界の動きは1〜2年後に、日本へ本格的にやってくるのが常。今回の攻撃は国内で大きな被害を出す可能性がある」と話す。 配信されないようにしろよ
メールシステム自体のセキュリティは上げられんのか 何を総称してファイルレス攻撃っていうんだ?
初めて聞いたぞ? >>6
メールにウィルスのファイル本体が無いってことかねぇ?
二次的にダウンロードしてるときに検知できそうな雰囲気だけど無理なんかなぁ? どうやらウィルスの実行ファイルが残らないってことらしいな 原理自体はおそろしく単純だが、非常に効果的なようだね。 パワーシェルがどうたらこうたらって書いてあるけれど
こういうのはWindows10Sなら防げるのかな? PowerShellの略らしいが、いきなりPSとか言われても分からんす('A`)
LNKファイルを利用してマルウェアをダウンロードする手法が増加中
http://blog.trendmicro.co.jp/archives/15091 メール添付のpowershellファイルなんて
デフォルトで実行出来る設定だったっけ? ウインドウズ10とキーロガーのちがいがわからん
しかもログイン認証時の顔画像まで押さえられてるし >>1
簡単だろ
何処ぞの諸島経由地にあるシナチクサーバーに転送されるだけだ アンチウイルスソフトを使うと、今まで使っていた国産フリーソフトの実行ファイルを消してくれる。
なんて親切なんだろう。
俺はわざわざ製作者にメールして、
「アンチウイルスソフトに消されたんだけど、なんか仕込みやがったな?何やってんの、お前?」
って書いたら、
「何も仕込んでいません。誤検出では?」
って返信が来た。
頭に来て、
「誤検出されるような、怪しいコードをどこで拾って来た?」
って返信したら、
「なんて失礼なんだ。全部自分で書いたのに!」
って返信が来た。 ダウンロードのみじゃなくね?
ダウンロードと実行するコードが書いてあるんじゃないの?
一応確認だけどinuxとかでいうshファイルみたいなものという解釈でいいんだよね? いまだにメール経由かい
HTMLメール使ってるアホなんぞおるか?
アホーや楽天がこういうメールばかり送って来るんだが
文字化けして見えないし迷惑 >>23
ザックリ言えば同様のはず。
そういや最近、ubuntsuがWindowsに載ったとやら言ってるけど、そっちのshでも似たこと出来ちゃうんだろか。
俺Macなので、そっちが怖い。MacはPS無いけどsh使えるから。 で、どのアンチウイルスソフト使えば防げるの?
情弱なもんで >>6
添付ファイルだと明らかに警戒されるから、そういう意味でのファイルレスだろう >>9
PowerShell
すんげー乱暴に言うと、コマンドプロンプトの超強化版みたいな感じ。 powershellって、unix系shellの劣化版だよなww 何でパワーシェルをPSって略すんだよ
プレイステーションかと思ったじゃないか 企業のコンピュータは簡単に更新されないからこういう長期スパンの攻撃に弱いな なにかと思たら、PowerShellかいな
相も変わらずくだらん業界 >>32
使いもしないからどんなものかすら知らねぇよw
C#と同等とか言われてもC#でビルドしたほうが楽 win エンタープライズ版は
アカウントパス
テキストメッセージのコード
PINまではあった どんなウィルスでも、ノートンをしっかり入れてれば、侵入を阻止してくれるから問題ない >>38
バツです
情報セキュリテイの抜き撃ち定期試験によく出る設問ですね エンタープライズ版のセキュリティやら機能がproにまで浸透する事ってあるの? >>40
あんた最若でも40と見た。わし50すぎww どんな拡張子だろうが、添付を「実行」したらあかんわ、そら これ、LNKファイルが危ないってことも書いてくれないとダメなんじゃないのか? >>1 同社日本法人の石丸傑(すぐる)分析官は「世界の動きは1〜2年後に、
>>1 日本へ本格的にやってくるのが常。今回の攻撃は国内で大きな被害を出す可能性がある」と話す。
偽)分析官
真)広報営業担当 それにしても、Power Shell 流行らないねえ
はっ、この記事…… >送信先のパソコンのシステム管理機能PSにファイルのダウンロードを命じるプログラムのみが書かれていた
PSってPowerShell? 訳のわからんアドレスから
請求書ご確認くださいみたいなやつだな アンチウィルスソフトなんて気休めだっての。
勿論入れないなんて選択肢はないがね。 >>36
コンパイルなしで実行できるしC#より記述量も少ないんだわ 分類でいえば一般的なダウンローダ型だろ
なんだファイルレスって つーかこれ、もしかしてOutlookだとPSがリンクファイル自動実行しちまう訳か?
だとしたら恐ろしいな、
パッチはまだか。
うちのメーラーは大丈夫だろうな、
砂箱入りとは言え… >>55
bat使って遠隔で変更出来るんじゃ
セキュリティポリシーの意味が無いよね >>32
劣化版というより、変態的というほうがしっくりくる。
スクリプト言語としては、.net frameworkの機能をつかえるから、
C#とか得意な人は、そこそこ使えるとおもう。変態的だけど。
俺も、何本か組んだことあるけど、構文が変態的なところ以外は、
.net frameworkのライブラリが使えて結構便利だなと思った。 >>66
変態的というかwindows的かも?w
便利なのは同意。
MS系でかなり色々出来る ■ このスレッドは過去ログ倉庫に格納されています