ファイルレスマルウェアの脅威について　TrendMicro

ランサムウェア「SOREBRECT」を例に、TrendMicro社はファイルレスマルウェアの脅威についてWebサイトで説明しています。

引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

「SOREBRECT」はファイルレスマルウェアに分類されるもので、不正なコードを注入する仕組みです。

同社の製品では、このランサムウェアをRANSOM_SOREBRECT.A、あるいはRANSOM_SOREBRECT.Bとして検知します。

SOREBRECTは、不正やバグを発見しユーザへ報告するステルス機能からの検知の回避を可能とし、この特徴を用いて対象ファイルを暗号化します。

また、SOREBRECTは、システムのイベントログやタイムスタンプを含むシステム上で実行されるファイル等、フォレンジックに用いられる情報を削除し、追跡を妨害します。

当該ランサムウェアの検知において、初期は中東で主に確認されていましたが、現在では日本含むアジアやヨーロッパ、南米でも確認されているとのことです。

引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

当該ランサムウェアは、システム管理者によるコマンドの実行、あるいは、リモートシステム上で特定のファイルの実行を可能とするWindowsコマンドラインの要素「PsExec」の脆弱性を悪用することで、対象コンピュータへランサムウェアをインストールさせます。

次に、Windowsのsvchost.exeへ不正なコードを注入、及びバイナリへランサムウェアの文字列を埋め込み、ファイルの暗号化が行われます。

暗号化後は、システム上に記録された当該ランサムウェアの活動ログを削除、及びTorネットワークを経由しC&Cサーバへと匿名で通信します。

引用元:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

上の画像はSOREBRECTによるメッセージの例であり、復号化のための鍵を購入するよう促す、所謂身代金要求です。

また、SOREBRECTへ感染したコンピュータは、同じLANを介しているコンピュータへ当該ランサムウェアを拡散させることが可能であるとのことです。

・共有ファイルやフォルダのセキュリティ設定等、ユーザのアクセス権限を制限することで、ネットワーク上でランサムウェアによるファイル暗号化を防ぐことが可能となります。

・重要なデータを事前にバックアップしておくことで身代金要求に応じる必要性が無くなります。

・OSやアプリケーションシステムのアップデートを実施し、バージョンを常に最新版に維持により、マルウェア感染等脅威を阻止します。