Kaspersky Labは2月8日(米国時間)、「Fileless attacks against enterprise networks - Securelist」において、サイバー攻撃の実施者は攻撃の痕跡を残さないためにファイルなどを残すことなく、メモリ上に必要なデータのみを残した状態で攻撃を実施することがあると指摘。こうした技術の実装系としてDuqu2の名前を挙げるとともに、あるインシデントの対処中にscおよびnetshというWindowsのデフォルトのユーティリティを使ってこうした攻撃を実施しているものを発見したと伝えた。
|
攻撃者が使ったPowerShell payloadの内容 |
記事には、デフォルトユーティリティを使ってどのように攻撃が実施されたのかについて詳細に説明されている。また、同テクニックを使ったマルウェアに感染していると見られる国や地域、攻撃に使われているドメインの情報などが掲載されている。
取り上げられている攻撃はWindowsのデフォルトユーティリティを使っている点が特に注目される。ファイルの痕跡も残さず、デフォルトのユーティリティを使っているため、セキュリティ・ソフトウェアによる検出が難しい可能性がある。
記事では、こうした攻撃が一般化しつつあると指摘。今後、同様の手口を用いた攻撃が増加する可能性があり注意が必要。サイバー攻撃は年々巧妙化を続けており、こうした情報に詳しいユーザーも判別が難しいものが登場してきている。常に最新のセキュリティ情報を入手するとともに、複合的な対策を取っておくことが望まれる。
