不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向

　不正なコードをファイルに書き込むことなしに実行するようなマルウェアが近年増加傾向にあるという。こうしたマルウェアはその痕跡がファイルとしては残らないため、既存のセキュリティソフトでは検出が難しいそうだ（ITmedia）。

　こういった攻撃手法は「ファイルレス攻撃」などと呼ばれており、プログラムの脆弱性を悪用して不正なコードを直接メモリ内に展開させて実行させたり、攻撃対象内にインストールされているPowerShellなどのツールを悪用することでその活動が検出されることを防ぐという。また、一時的にファイルを書き込むも、その後そのファイルを削除する、もしくはその内容を0で上書きするような挙動を行うのもあるという（McAfeeの「ファイルレス攻撃解説」ホワイトペーパー）。

　PowerShellがよく悪用されるのは、メモリ上にダウンロードしたコードを直接実行する仕組みがサポートされているからだそうだ。また、多くの場合システムが再起動されるとこれらマルウェアは活動が止まるが、レジストリやファイルシステム以外のストレージを活用することで持続的に攻撃を行うものもあるという。なお、PowerShellが攻撃に悪用される可能性については以前より指摘されていた（ITmediaの2017年記事）。

　スラドのコメントを読む

　関連ストーリー：
Microsoft、プロセス分析ツール「Process Hacker」をマルウェア扱いして駆除 2019年12月13日
データ消去マルウェア「ZeroCleare」が発見される、中東のエネルギー企業がターゲットか 2019年12月10日
Googleがセキュリティ企業3社と提携し、Google Playストアでのマルウェア公開を防ぐ「App Defense Alliance」を発表 2019年11月12日