PowerShell

3月4日(米国時間)、Threatpostに掲載された記事「New Fileless Attack Using DNS Queries to Carry Out PowerShell Commands|Threatpost|The first stop for security news」が、「DNSMessenger」と呼ばれるユニークな攻撃方法について伝えた。これはDNSクエリを使って攻撃を実施するためのPowerShellコマンドを対象のマシンに運び込むというもの。対象のシステムにトロイの木馬が仕込まれていることが検出されないように、このような仕組みが利用されていると説明がある。

この攻撃は、感染向けのPowerShellコマンドを含んだWordドキュメントをメールで相手に送信するところから始まる。相手が特定の自動処理機能を有効にしておくと、自動的にVisual Basic for Applicationsマクロが起動して初期のPowerShellコードが実行される。結果として、最終的にトロイの木馬を相手のマシンに感染させることになる。

以降はDNSのTXTレコードを使ってメッセージのやりとりが行われる。既存のDNSがメッセージのやり取りに使われるため、対象となるマシンがマルウェアに感染したことに気がつきにくいとされている。この攻撃はファイルとしての痕跡も残さないことから検出が難しい。しかし、攻撃の意図は不明瞭だとしており、特定の組織を狙ったなんらかの攻撃ではないかとされている。