パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向」記事へのコメント

  • どういうことですかね?
    bash -c "echo foo" みたいな話?

    • by Anonymous Coward

      PowerShellというより.NETの機能として、メモリ上の.NETモジュールのバイナリをロードできるので、それのことかな。

      本体のマルウェアをネットワークからダウンロードしてメモリ上に展開し、.NETランタイムにロードすることで、
      ディスクに書き込まずに悪意あるプログラムを実行できる。
      PowerShellは.NETランタイムで動作しているので、読み込まれたモジュールを直接呼び出せる。

      リンクされているMcFeeのホワイトペーパーによれば、
      「検知にファイルベースのアプローチをするほとんどのセキュリティソリューションは動作監視をしていたとしてもファイルレス攻撃を検知できない」
      とある。

      • by Anonymous Coward

        これ System.Reflection.Assembly.LoadModule() [microsoft.com] ですね。.NETではバイト配列からアセンブリを読み込めるんですね。

        とはいえ、本体のダウンロード、読み込みを行うPowerShellスクリプトは必要になるので、検出するのはさほど難しくない気はしますが。
        PowerShellは難読化しやすいとも書いてあるけど、うーん、どうかな。

        • by Anonymous Coward on 2020年01月30日 19時55分 (#3753615)

          マルウェアかどうか判定するのは簡単かな?
          すべて公開APIで可能な処理だし、「外部URLからダウンロードしたアセンブリを読み込むプログラム」というだけでマルウェア扱いはできない気がする。
          ダウンロード先のURLで判断するくらいだが、URLなんていくらでもばらけさせられるし、
          white paperにはこれを複数段階かませてるって書いてあるし、結構手ごわいのでは。

          親コメント
          • by Anonymous Coward

            >ダウンロード先のURLで判断するくらいだが
            ホワイトリストで対応するしかないでしょうね。
            開発者くらいでしょう、リストに追加する必要が生じるのは。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...