【ＩＴ】現在最も使われるファイルレス攻撃 「侵入」「潜伏」の２段階攻撃 手口の全体像隠す©2ch.net

[0001 紅あずま ★ 転載ダメ©2ch.net 2017/08/20(日) 07:30:41.39 ID:CAP_USER9]

【ファイルレス攻撃】「侵入」「潜伏」の２段階攻撃　手口の全体像隠す
産經新聞：2017.8.20 06:43更新
http://www.sankei.com/affairs/news/170820/afr1708200003-n2.html

http://www.sankei.com/images/news/170820/afr1708200003-p1.jpg
ファイルレス攻撃のウイルス侵入イメージ

　ファイルレス攻撃は、偽メールに仕組まれた「侵入型」、内部で情報収集などを行う「潜伏型」と２つの段階に応じて別々の不正プログラム（ウイルス）が使われているのも特徴だ。
片方の攻撃が発覚しても、それが単発の攻撃と分析者に誤認させ、手口の全体像が分からないようにする効果を狙ったものとみられる。

　昨年１０月ごろ、情報セキュリティー会社「トレンドマイクロ」は、国内で標的型とみられる不審なメールの存在を確認した。
添付ファイルを調べてみると、送信先のパソコンのシステム管理機能ＰＳにファイルのダウンロードを命じるプログラムのみが書かれていた。
どのようなファイルがダウンロード対象なのかまでは不明で、同社は「これだけ見ても何が目的か分からない」と説明する。

　あらゆる可能性を考えて粘り強く調査を進めた。
すると、相手のパソコンの機能を利用し、正体が分からないように加工されたウイルスをダウンロードすること、このウイルスがシステム内で活動できるように、ＰＳを操って通常の状態に戻すことなども判明した。

　現在、このファイルレス攻撃は国内で使われる遠隔操作型ウイルスの中で「最も活発」（同社）という。

　昨年末に旧ソ連諸国にある複数の銀行で、同種の２段階攻撃を仕掛けてくるファイルレス攻撃を確認したロシアの情報セキュリティー会社「カスペルスキーラボ」も調査を進めた。
その結果、米国、南米、欧州など４０カ国で計１４０以上の組織のシステムへの侵入が確認されたという。
同社日本法人の石丸傑（すぐる）分析官は「世界の動きは１〜２年後に、日本へ本格的にやってくるのが常。今回の攻撃は国内で大きな被害を出す可能性がある」と話す。

[0002 名無しさん＠１周年 2017/08/20(日) 07:32:23.17 ID:hBSD2cn80]

チョチョーン

[0003 名無しさん＠１周年 2017/08/20(日) 07:32:49.13 ID:9ylhCjwI0]

ブルースウィルス

[0004 名無しさん＠１周年 2017/08/20(日) 07:33:13.09 ID:ktoqPlbl0]

ウィリス
http://9ch.net/RN

[0005 名無しさん＠１周年 2017/08/20(日) 07:35:54.02 ID:SIL59p920]

配信されないようにしろよ
メールシステム自体のセキュリティは上げられんのか

[0006 名無しさん＠１周年 2017/08/20(日) 07:40:40.42 ID:SJ1Swn850]

何を総称してファイルレス攻撃っていうんだ？
初めて聞いたぞ？

[0007 名無しさん＠１周年 2017/08/20(日) 07:42:18.59 ID:pODM6Oib0]

玄関前にウイルス入りUSBメモリを置いとく

[0008 名無しさん＠１周年 2017/08/20(日) 07:45:12.45 ID:JH3KO9Jx0]

>>6
メールにウィルスのファイル本体が無いってことかねぇ？
二次的にダウンロードしてるときに検知できそうな雰囲気だけど無理なんかなぁ？

[0009 名無しさん＠１周年 2017/08/20(日) 07:47:37.16 ID:Q8fcsaSt0]

>>1

PSって何？パーフェクトソルジャー？

[0010 名無しさん＠１周年 2017/08/20(日) 07:47:42.59 ID:eLQFxIi00]

どうやらウィルスの実行ファイルが残らないってことらしいな

[0011 名無しさん＠１周年 2017/08/20(日) 07:49:06.24 ID:b+IpCSkn0]

>>9
画像を開かないの？書いてあるぞ。

[0012 名無しさん＠１周年 2017/08/20(日) 07:53:37.60 ID:KynybI5y0]

原理自体はおそろしく単純だが、非常に効果的なようだね。

[0013 名無しさん＠１周年 2017/08/20(日) 08:01:23.21 ID:ZGsGLdlE0]

結局添付ファイル開くなってだけかよ

[0014 名無しさん＠１周年 2017/08/20(日) 08:01:33.04 ID:98h50/eC0]

パワーシェルがどうたらこうたらって書いてあるけれど
こういうのはWindows10Sなら防げるのかな？

[0015 名無しさん＠１周年 2017/08/20(日) 08:05:04.53 ID:W6eN9uSq0]

PowerShellの略らしいが、いきなりPSとか言われても分からんす('A`)

LNKファイルを利用してマルウェアをダウンロードする手法が増加中
http://blog.trendmicro.co.jp/archives/15091

[0016 名無しさん＠１周年 2017/08/20(日) 08:09:51.17 ID:nn/NCvA80]

メール添付のpowershellファイルなんて
デフォルトで実行出来る設定だったっけ?

[0017 名無しさん＠１周年 2017/08/20(日) 08:13:37.37 ID:iCrieo/50]

P.S.ロバート・ ラングドンを探せ

[0018 名無しさん＠１周年 2017/08/20(日) 08:26:11.53 ID:UJi9nsGd0]

フォトショップかと思た

[0019 名無しさん＠１周年 2017/08/20(日) 08:57:01.66 ID:OY7UgMLH0]

>>17
元ネタわかるけど理解できる人少なそう

[0020 名無しさん＠１周年 2017/08/20(日) 09:07:01.02 ID:eahUIoLk0]

ウインドウズ10とキーロガーのちがいがわからん
しかもログイン認証時の顔画像まで押さえられてるし

[0021 名無しさん＠１周年 2017/08/20(日) 09:14:03.08 ID:DgsXHTrk0]

>>1
簡単だろ
何処ぞの諸島経由地にあるシナチクサーバーに転送されるだけだ

[0022 名無しさん＠１周年 2017/08/20(日) 09:22:57.05 ID:mb41Kz7d0]

アンチウイルスソフトを使うと、今まで使っていた国産フリーソフトの実行ファイルを消してくれる。
なんて親切なんだろう。
俺はわざわざ製作者にメールして、
「アンチウイルスソフトに消されたんだけど、なんか仕込みやがったな？何やってんの、お前？」
って書いたら、
「何も仕込んでいません。誤検出では？」
って返信が来た。
頭に来て、
「誤検出されるような、怪しいコードをどこで拾って来た？」
って返信したら、
「なんて失礼なんだ。全部自分で書いたのに！」
って返信が来た。

[0023 名無しさん＠１周年 2017/08/20(日) 09:27:09.44 ID:wLInH8Ed0]

ダウンロードのみじゃなくね？
ダウンロードと実行するコードが書いてあるんじゃないの？
一応確認だけどinuxとかでいうshファイルみたいなものという解釈でいいんだよね？

[0024 名無しさん＠１周年 2017/08/20(日) 09:52:05.58 ID:sCVn22tJ0]

いまだにメール経由かい
HTMLメール使ってるアホなんぞおるか？

アホーや楽天がこういうメールばかり送って来るんだが
文字化けして見えないし迷惑

[0025 名無しさん＠１周年 2017/08/20(日) 09:54:25.78 ID:Feef08BN0]

>>23
ザックリ言えば同様のはず。
そういや最近、ubuntsuがWindowsに載ったとやら言ってるけど、そっちのshでも似たこと出来ちゃうんだろか。

俺Macなので、そっちが怖い。MacはPS無いけどsh使えるから。

[0026 名無しさん＠１周年 2017/08/20(日) 09:55:56.49 ID:lKWRKgo40]

プ･･･プレイステーション？

[0027 名無しさん＠１周年 2017/08/20(日) 10:02:07.39 ID:FCb0Pb8L0]

ゲットコマンド

[0028 名無しさん＠１周年 2017/08/20(日) 10:06:07.40 ID:2Cclq77PO]

で､どのアンチウイルスソフト使えば防げるの？
情弱なもんで

[0029 名無しさん＠１周年 2017/08/20(日) 10:06:17.03 ID:JEspzhGF0]

リアルでもネットでもアイツらの手口は一緒か。

[0030 名無しさん＠１周年 2017/08/20(日) 10:06:39.66 ID:cwrIpzVP0]

>>6
添付ファイルだと明らかに警戒されるから、そういう意味でのファイルレスだろう

[0031 名無しさん＠１周年 2017/08/20(日) 10:08:10.32 ID:xHsEv15u0]

>>9
PowerShell

すんげー乱暴に言うと、コマンドプロンプトの超強化版みたいな感じ。

[0032 名無しさん＠１周年 2017/08/20(日) 10:09:00.59 ID:Tg8szzOr0]

powershellって、unix系shellの劣化版だよなｗｗ

[0033 名無しさん＠１周年 2017/08/20(日) 10:09:49.55 ID:kHjNt3Vv0]

何でパワーシェルをPSって略すんだよ
プレイステーションかと思ったじゃないか

[0034 名無しさん＠１周年 2017/08/20(日) 10:22:47.03 ID:0nkOozoX0]

企業のコンピュータは簡単に更新されないからこういう長期スパンの攻撃に弱いな

[0035 名無しさん＠１周年 2017/08/20(日) 10:24:00.90 ID:OvOjXbVQ0]

なにかと思たら、PowerShellかいな
相も変わらずくだらん業界

[0036 名無しさん＠１周年 2017/08/20(日) 10:26:04.69 ID:kHjNt3Vv0]

>>32
使いもしないからどんなものかすら知らねぇよｗ
C#と同等とか言われてもC#でビルドしたほうが楽

[0037 名無しさん＠１周年 2017/08/20(日) 10:28:47.81 ID:ZZIZWHlI0]

win エンタープライズ版は
アカウントパス
テキストメッセージのコード
PINまではあった

[0038 名無しさん＠１周年 2017/08/20(日) 10:29:48.84 ID:R9LQBb7u0]

どんなウィルスでも、ノートンをしっかり入れてれば、侵入を阻止してくれるから問題ない

[0039 名無しさん＠１周年 2017/08/20(日) 10:30:46.22 ID:oei90NQy0]

>>38
バツです
情報セキュリテイの抜き撃ち定期試験によく出る設問ですね

[0040 名無しさん＠１周年 2017/08/20(日) 10:31:40.09 ID:5UvJsvjU0]

PostScript

[0041 名無しさん＠１周年 2017/08/20(日) 10:34:51.27 ID:sUcT63Qt0]

通はバッチファイル

[0042 名無しさん＠１周年 2017/08/20(日) 10:34:54.34 ID:ZZIZWHlI0]

エンタープライズ版のセキュリティやら機能がproにまで浸透する事ってあるの？

[0043 名無しさん＠１周年 2017/08/20(日) 10:35:14.00 ID:eNpjvvV70]

「侵入」「潜伏」「増殖」「浸透」「征服」

[0044 名無しさん＠１周年 2017/08/20(日) 10:40:53.02 ID:WapLIAmA0]

>>40
あんた最若でも40と見た。わし50すぎww

[0045 名無しさん＠１周年 2017/08/20(日) 10:45:46.72 ID:WapLIAmA0]

どんな拡張子だろうが、添付を「実行」したらあかんわ、そら

[0046 名無しさん＠１周年 2017/08/20(日) 10:49:25.44 ID:1Xw9DOXp0]

添付ファイルなのに何でファイルレス？

[0047 名無しさん＠１周年 2017/08/20(日) 11:02:41.83 ID:wLInH8Ed0]

>>25
さんきゅう

[0048 名無しさん＠１周年 2017/08/20(日) 11:08:51.18 ID:WVQFkKIc0]

マッチポンプの業界

[0049 名無しさん＠１周年 2017/08/20(日) 11:12:47.32 ID:wLInH8Ed0]

これ、LNKファイルが危ないってことも書いてくれないとダメなんじゃないのか？

[0050 名無しさん＠１周年 2017/08/20(日) 11:15:17.56 ID:2IQRQzy30]

日本語はセキュリティーツール

[0051 名無しさん＠１周年 2017/08/20(日) 12:24:30.77 ID:OvOjXbVQ0]

>>1 同社日本法人の石丸傑（すぐる）分析官は「世界の動きは１〜２年後に、
>>1 日本へ本格的にやってくるのが常。今回の攻撃は国内で大きな被害を出す可能性がある」と話す。

偽）分析官
真）広報営業担当

[0052 名無しさん＠１周年 2017/08/20(日) 12:25:40.77 ID:SJ1Swn850]

>>22
お前、失礼な奴だな

[0053 名無しさん＠１周年 2017/08/20(日) 12:28:05.60 ID:SJ1Swn850]

それにしても、Power Shell 流行らないねえ
はっ、この記事……

[0054 名無しさん＠１周年 2017/08/20(日) 12:28:15.35 ID:o2Ru3xf50]

>送信先のパソコンのシステム管理機能ＰＳにファイルのダウンロードを命じるプログラムのみが書かれていた

ＰＳってPowerShell？

[0055 名無しさん＠１周年 2017/08/20(日) 12:30:46.75 ID:o2Ru3xf50]

>>16
batファイルなら実行できる

[0056 名無しさん＠１周年 2017/08/20(日) 12:38:50.04 ID:CB+bslRd0]

訳のわからんアドレスから
請求書ご確認くださいみたいなやつだな

[0057 名無しさん＠１周年 2017/08/20(日) 12:43:11.27 ID:YDQGyFfb0]

アンチウィルスソフトなんて気休めだっての。
勿論入れないなんて選択肢はないがね。

[0058 名無しさん＠１周年 2017/08/20(日) 13:10:25.70 ID:SGTh3QHt0]

>>36
コンパイルなしで実行できるしC#より記述量も少ないんだわ

[0059 名無しさん＠１周年 2017/08/20(日) 13:15:07.10 ID:KMutq4zA0]

http://www.sankeibiz.jp/images/news/170820/cpc1708200918001-p1.jpg
なるほど・・・わからない(￣ー￣)

[0060 名無しさん＠１周年 2017/08/20(日) 13:37:07.54 ID:HyUFlvQT0]

分類でいえば一般的なダウンローダ型だろ
なんだファイルレスって

[0061 名無しさん＠１周年 2017/08/20(日) 13:46:04.95 ID:PhB8lJfw0]

sshとかでrootkit落とすとかそんなん?

[0062 名無しさん＠１周年 2017/08/20(日) 13:48:20.76 ID:fftcsppj0]

古典的なものほど危険

[0063 名無しさん＠１周年 2017/08/20(日) 13:59:11.40 ID:WB3CbUdp0]

jpg .bat

[0064 名無しさん＠１周年 2017/08/20(日) 14:05:00.97 ID:YDQGyFfb0]

つーかこれ、もしかしてOutlookだとPSがリンクファイル自動実行しちまう訳か？
だとしたら恐ろしいな、
パッチはまだか。

うちのメーラーは大丈夫だろうな、
砂箱入りとは言え…

[0065 名無しさん＠１周年 2017/08/20(日) 14:23:00.33 ID:nn/NCvA80]

>>55
bat使って遠隔で変更出来るんじゃ
セキュリティポリシーの意味が無いよね

[0066 名無しさん＠１周年 2017/08/20(日) 16:01:56.84 ID:By5FIhhC0]

>>32

劣化版というより、変態的というほうがしっくりくる。

スクリプト言語としては、.net frameworkの機能をつかえるから、
C#とか得意な人は、そこそこ使えるとおもう。変態的だけど。

俺も、何本か組んだことあるけど、構文が変態的なところ以外は、
.net frameworkのライブラリが使えて結構便利だなと思った。

[0067 名無しさん＠１周年 2017/08/20(日) 20:54:46.49 ID:Fg+RcXKH0]

>>14
何故starter edition

[0068 名無しさん＠１周年 2017/08/21(月) 12:20:20.33 ID:d/C8Ef8K0]

>>66

変態的というかwindows的かも？ｗ
便利なのは同意。

MS系でかなり色々出来る

[0069 名無しさん＠１周年 2017/08/21(月) 12:59:06.55 ID:ynyevJzB0]

F#スクリプトしか使わない。F#最高。

[0070 名無しさん＠１周年 2017/08/21(月) 16:43:42.32 ID:EeRnm6090]

P.S.ありがとう