Microsoftは2018年1月24日(現地時間)、「Now you see me: Exposing fileless malware – Microsoft Secure」において、ファイルレスマルウェアがどのような仕組みで動作しているかについて説明した。アンチウィルス・ソフトウェアはファイルレス・マルウェアに対して後手に回っていることがあり、マルウェアの実行を検出できないことがあると指摘している。

ファイルレス・マルウェアのテクニックとしては、次の4点が取り上げられている。

  • DLLデータを手動で直接メモリへ読み込ませる。DLLファイルはディスクに存在している必要はなく、ネットワーク経由などで読み込ませることが可能
  • 脆弱性を突くなどして直接メモリにコードを読み込ませる(PetyaやWannaCryで使われていたのもこのテクニック)
  • スクリプトを使ってメモリベースでのコード実行。スクリプトは直接ディスク上にファイルとして保存されている必要はなく、レジストに隠しておいたりネットワークから読み込ませることで実行させることが可能
  • WMI(Windows Management Instrumentation)レジストリに悪質なスクリプトを保持しておいて、WMIバインディングを使って定期的に処理を実行させる
  • ファイルレスマルウェアの動作の仕組みを説明|Microsoft

    ファイルレスマルウェアの動作の仕組みを説明|Microsoft

ファイルレスの攻撃は、ファイルを調べるといった方法では検出することができない。セキュリティソフトウェアベンダーはこうした攻撃を検出するためにさまざまな方法を試しており、新しいプロダクトにはそうした機能が追加されている。利用しているソフトウェアは常に最新の状態にアップデートするとともに、セキュリティ情報の収集を欠かさず行っていくことが望まれる。