2017年はトランスクリプトの年でした。 WannaCryの世界的な攻撃は壊滅的な影響を与えました。世界中を騒がせたニュースの存在が、結果的に企業や家庭のユーザーがサイバーセキュリティの重要性に注意を払うようにしたのです。
2018年にはマルウェアを使用するランサムウェア攻撃やその他の脅威が引き続き登場すると思われますが、私たちの予測では、2018年はマルウェアレス攻撃が勢いを増すと考えています。今年はいくつかのケースを見てきましたが、来年はマルウェアのない攻撃に注目していくべきと考えています。

 

管理者になりすまし

サイバー犯罪者は、企業や機関がより良いセキュリティシステムに投資するにつれて、障壁を迂回して目標を達成するためにますます巧妙な方法を使用しています。 最近の数か月では、より高度なサイバーセキュリティツールによって容易に検出されるマルウェアレス攻撃の数が増えています。攻撃者は管理者の資格情報を使用してネットワーク上を移動することがあります。 これはすでに、2017年に報告された企業のセキュリティ侵害の62%にこのハッキング技術が使用され、その49%がマルウェアをまったく使用していなかったことが広範にみられました。 2018年には、さらに状況が悪化すると予測しています。

彼らはどのようにマルウェアなしで攻撃することができるのでしょうか?

サイバー犯罪者がマルウェア無しで攻撃する手法は、IT管理者の日常的なあらゆる種類の悪質でないツールを活用して攻撃します。

バックドアを通したスティッキー攻撃

これはPandaLabsによって検出された大きな事例です。 まず、攻撃者は、リモートデスクトッププロトコル(RDP)が有効になっているサーバーに対してBluetooth攻撃を行い、デバイスにアクセスするための資格情報を取得します。そこから、OSのスクリプトとツールを使用して、検出されずにシステムを移動し、単純なバックドアをインストールします。RDPのアクセス資格情報が変更されたことを犠牲者が認識したとしても、攻撃者はスティッキーキー機能を利用してアクセス資格情報を入力せずにコンピュータにアクセスできます。Shiftキーを5回押すと、スティッキーキーが有効になり、同時にバックドアが開きます。

以下の図が示すように、攻撃はそこで終了しません。 サイバー犯罪者は、アクセス可能なオンライントラフィックを生成して第三者へ販売したり、侵害されたコンピュータへのアクセスを最高入札者に売却するなど、攻撃を収益化するために2通りの方法を使用します。

PowerShellを使用した暗号化のマイニング

最近、PandaLabsによって検出された別の攻撃では、ファイルレスマルウェア 、PowerShell、エクスプロイト、カスタマイズされたMimikatzの組み合わせで、侵入先コンピュータにMoneroマイニングソフトウェアをインストールします。

この攻撃は、PowerShellなどのシステム管理者にとって不可欠なツールが、攻撃を行うためにハッカーによってますます使用されていることの明確な例です。

解決策:Threat Hunting

このような洗練された方法による攻撃の増加は、署名ファイルに基づく従来の保護モデルが時代遅れであることを明示しています。 伝統的なセキュリティソリューションが検知しない、未知のファイルの中に隠れているマルウェアは、最新の高度なサイバーセキュリティツールによって容易に検出することができます。 これにより、サイバー犯罪者はこのセキュリティシステムを回避するためのより専門的な方法を創造しなければ目的を達成することが出来なくなります。 したがって、マルウェアだけと戦うことに焦点を当てたセキュリティソリューションはすでに有効ではないのです。

マルウェアレス攻撃に対処するための鍵は、行動ベースの検出にあります。機械学習システムは、潜在的なインシデントに優先順位を付け、脅威捜索プラットフォームに統合されたリモートフォレンジック分析ツールを使用して深く分析します。可能な限り多くのタスクを自動化することで、Threat Huntingチームは、より多くの時間を費やして異常な動作を調査して顧客を保護することに専念できます。これは、Panda社が提供するマネージドセキュリティソリューションAdaptive Defenseが採用しているセキュリティモデルです。

攻撃者はマルウェアベースの検出システムをバイパスするためにより多くのトリックを使用していますが、 Adaptive Defenseは、ネットワークに接続されたすべてのデバイス上で実行されるプロセスの100%を分類するだけでなく、リアルタイムでそれらを監視し、上記のような攻撃を検出します。

PandaLabsで検出されたその他の事例と、2018年の予測の詳細については、こちらのレポート(英語)をご覧ください。