今回はマルウェアの種類と挙動、それらの対策についてまとめようと思います。
・マルウェアとは
一言で言えば 悪意があるプログラム を指し
「こういう振る舞いをするのがマルウェア」という明確な定義は無いようです。
マルウェアとは、Malicious(悪意がある) + Software を組み合わせた造語です
また、ウィルス と マルウェア は混同されがちですが、明確には異なり
マルウェアという大枠の中に、ウィルスやワームなどの種類があるイメージで良いと思います
・マルウェアの種類とその挙動
ーランサムウェア
ランサムウェアは 身代金要求型ウィルス と呼ばれ、標的組織の情報を窃取+暗号化を行い
そして暗号化を解く代償に金銭を求める、情報を暴露されたくなければ金銭を支払えなどと
情報を人質として金銭を要求します。
また、昨今猛威を振るっている 標的型攻撃 に利用されます
以下に大まかな挙動を示します
1 何らかの方法(メールが多い)で ランサムウェア を感染させる
2 感染機器を踏み台にし、感染拡大と情報の窃取、情報の暗号化を行う
3 窃取した情報を外部(攻撃者)に送信する
ランサムウェアに感染すると、ランサムノート がデスクトップに表示されます(↓こんなの)
このような画面を表示し、被害者に支払いを指示します。
復号のために身代金を払うかどうかですが、支払いは推奨されません
・身代金を払っても復号される保証はない
・身代金を払うことで攻撃者を支援することになる
・攻撃組織から「脅せば金を払う組織だ」と、以降マークされる
・国によっては身代金の支払いが犯罪となる(米のOFAC法 日本は現状ない)
と言う風に、被害者側は多くのリスクを背負っています
ーウィルス
ウィルスは何らかのファイル、システムに依存して動作します
宿主がいないとそれ単体では効力を発揮できません。
主な活動として、過去の有名なウィルスを見る限り
昔は感染端末内での破壊活動が主のようですが、昨今では様々な機能を有しているようです(参考)
ウィルスも色々種類がありますが、試験においては個人的に以下は抑えておくといいと思います
・ファイルレス型
この種はダウンロードされるとメモリ上に展開後され、自身を削除しファイルとして形を残さない
・ポリモーフィック型
ポリモーフィックとは「多態」の意味、自身のファイル名やプログラム自体を変えてしまう
こうすることでウィルスソフトの検知を回避できる
・マクロ型
Excel等の閲覧ソフトのマクロを悪用する
この種は閲覧ソフトの仕組みを悪用しているのでウィルスソフトによる実行禁止ができない
少し前に Emotet というのが流行したがまさにコレ
ーワーム
ワームに関して、書籍やネット上にて調査したところ
内容がそれぞれ多少異なっていましたが、以下の点が共通していました
ワームは自分自身のコピーを作成し、他端末への感染拡大を主な目的とする ということ
感染を広げる目的は主に以下のようです
・感染端末内の情報を削除する
・ボットの踏み台
・情報の窃取
・システムリソースの消費
上記の内、感染端末の情報を削除するような破壊的活動を行うものを ワイパー とも呼ばれ
ウクライナへの攻撃としても使用されたようです(参考)
もう一つワームの特徴として、単独で活動できることが挙げられます
先に挙げたウィルスは他のファイルに寄生しますが、ワームは寄生をせずとも
自身で活動し感染を広めていきます。
ートロイの木馬
トロイの木馬とは、表向きは一見無害なツール/プログラムに見せかけ
裏では情報の窃取などの様々な活動を行うマルウェアを指します
以下の機能を有している場合があります
・キーロガー : キーボードの入力内容を窃取
・ボット
・RAT : リモートアクセスツール
・バックドア
・マルウェア感染時に行う事
ここでは根本的な解決とはなりませんが
機器がマルウェアに感染してしまった際に取るべき行動をまとめました
ー感染機器をネットワークから遮断する
ほとんどのマルウェアはネットワークを介し、データの送受信や感染拡大を行うので
ネットワークから遮断することで、これらの行動を制限できます。
有線接続ならLANケーブル抜く、そして無線LANの接続も無効にします。
ー揮発性の高いデータの保全
いわゆる デジタルフォレンジックス です。
揮発性の高いデータとは内容が変化しやすいデータを指し、メモリ を指すことが多く
メモリ内のデータを保全することで、感染経路の特定や復号用の鍵を入手出来たりと後の調査に役立ちます。
フォレンジックスは専門知識がないと難しいので、セキュリティ担当部署や外部の業者を頼りましょう。
ー担当部署に報告
迅速に報告する為にも、普段から報告先や報告方法を心得ておきましょう。
マルウェアの感染かどうかは分からないが
動作が著しく重くなった 見慣れないファイルがある 等のレベルでも良いと思います
ー避けるべき行動
逆にやってはいけないこととして、機器の電源を落とすことが挙げられます
理由はメモリのデータが消えてしまうからです
先ほども申し上げた通り、メモリには重要な情報が残っている場合が多いですが
メモリはDRAMです。一度電源を落とすとその内容は消失してしまいます
なので、デジタルフォレンジックスの観点でも感染機器の電源を落とすことは良くないと言えます。
・マルウェアの共通対策
ーOSやソフトウェアのバージョンを最新に保つ
マルウェアは脆弱性を利用するので、OSやソフトウェアを最新に保つことで
マルウェア感染時のリスクを抑えられます。
ーバックアップの取得
可能な限りバックアップを取得することで、データの暗号化や消失時のリスクを低減できます
また、バックアップ媒体は基本ネットワークから切り離し、バックアップ取得時のみネットワークに接続するようにします。バックアップデータも攻撃対象とするマルウェアも存在します。
ーセキュリティソフトの導入
アンチウィルスソフトやEDRを用いてマルウェアの感染を検出します
アンチウィルスソフトは定義ファイルをベースとしたシグネチャ型が多く、既知のウィルスの検知に特化しており
EDRでは通常とは逸脱した異常を検知するアノマリ型が採用されることが多く(または両方)
組み合わせることで既知/未知のマルウェアに対応できます。
定義ファイルに関して、こちらも常に最新化することを心がけましょう。
コメント