Windowsイベントログを利用したファイルレスマルウェアの手法が観測される

セキュリティ企業・カスペルスキーの研究者が、Windowsのイベントログ内にシェルコードを隠すことで感染経緯をこれまでよりもわかりにくくする手法が用いられていることを初めて観測しました。

A new secret stash for “fileless” malware | Securelist
https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/

Hackers are now hiding malware in Windows Event Logs
https://www.bleepingcomputer.com/news/security/hackers-are-now-hiding-malware-in-windows-event-logs/

カスペルスキーの主任セキュリティ研究者デニス・レゲゾ氏によると、イベントログを悪用する手法が観測されたのは2022年2月のこと。標的を絞り込んで行われた攻撃キャンペーンの中で用いられていたもので、実際の攻撃で観測されたのは初のことです。

攻撃者は、マルウェアを仕掛けて対象に攻撃を行うにあたり、セキュリティソフトなどに検知されないようにさまざまな対策を行います。「ファイルレスマルウェア」は、最初からWindowsにインストールされている正規のツールを使用して悪意あるコマンドやスクリプトを実行するため、検出難度が上がります。

今回の攻撃でも、Windowsの正規のエラー報告機能で用いる「WerFault.exe」をランチャーとして利用したり、マルウェアに関連ファイルにデジタル署名が行われていたり、ドロッパーが「EtwEventWriteFull」のようなロギング関連のAPI関数を空の機能を持つ自己アドレスにパッチしていたりと、さまざまな検出防止策が講じられています。レゲゾ氏によると、特に「シェルコードをイベントログに隠す」という点が革命的だとのこと。

なお、少なくとも「Silent Break(NetSPI)」や「Cobalt Strike」の2つの商用ツールキットが用いられているほか、検出防止プログラムと最終段階のRAT(遠隔操作ウイルス)も複数存在することから、背後にいる攻撃者はかなりの腕利きであると推測されています。