TOPNetwork > 痕跡を残さない新たなサイバー攻撃が相次ぐ、攻撃コードをメモリ...

Network

痕跡を残さない新たなサイバー攻撃が相次ぐ、攻撃コードをメモリーに読み込ませる

2017/02/10

Lucian Constantin IDG News Service

 銀行などを狙った新たなサイバー攻撃が多数確認されている。攻撃コードをメモリーに直接読ませて、ハードディスクなどに痕跡を残さないので検出するのが困難だ。一般的なマルウエアではなく、ペネトレーションテストでも広く使われているオープンソースのツールを使っているのも特徴だ。

Credit: IDGNS

 ロシアのセキュリティベンダーKaspersky Labのブログ記事によると、ある銀行において、Windowsのドメインコントローラーとして使っているサーバーのメモリーに、攻撃を目的とした「Meterpreter」のコードが見つかったという。この銀行のセキュリティ担当チームが見つけた。これを受けて、Kaspersky Labの研究者が調査を進めた(ブログ記事では、銀行名は明らかにされていない)。

 Meterpreterとは、ペネトレーションテスト用フレームワーク「Metasploit」のモジュールの一つ。Metasploitは、悪質なハッカーだけではなく、企業のセキュリティチームなども広く利用している。Meterpreterは、メモリー内で実行中の別プロセスに自らを挿入できる。このため、侵入したシステムを乗っ取るといった悪用が可能だ。

 Kaspersky Labの研究者が分析を進めたところ、問題のサーバーのシステムレジストリーに、難読化されたPowerShellスクリプトが記録されているのを発見した。ハードディスクに痕跡を残すことなく、Meterpreterをメモリーに直接読み込むためのスクリプトだ。

 このスクリプトはMetasploitで生成されていた。攻撃者は、Windowsのコマンドラインの「sc」コマンドを使って、悪質なサービスを手動でセットアップし、そのサービスでスクリプトを実行するように設定していた。

 PowerShellとは、Windowsが標準で搭載しているスクリプト言語とインタープリターだ。システムの管理作業を自動化するために使える。

↑ページ先頭へ