Fileless malwareについて

概要

fileless malware または fileless attack，この辺の言い方は少し曖昧性があるみたいな記事を見た(要出典)
基本的には実行ファイルを用いない一連の攻撃だと認識している.
PowershellやWMI(windows Management Instrumentation)などの正規のツールを悪用(Living off the Land)することでメモリ上にマルウェアをロードして実行する.

参考

• McAfee : What is Fileless Malware?

Fileless Techniques

• Reflective DLL injection
  windows loaderを用いないで，プロセスのメモリに直接DLLをロードするやつ．
  Detecting reflective DLL loading with Windows Defender ATP
  Remote Library Injection
  https://github.com/stephenfewer/ReflectiveDLLInjection

• Memory exploits

• Script-based techniques

• WMI persistence

参考

• Now you see me: Exposing fileless malware

LNK File

ショートカットファイルであり，元のファイルへの参照として使用される．
1.によると，LNKファイルの参照先(target)に悪意のあるスクリプトが書かれており，ファイルをクリックするとそれが実行される仕組みらしい．

LNKファイルを用いた攻撃の一連の流れは2.に書いてある．

参考

1. Analyzing the Windows LNK file attack method
2. LNKファイルを利用してマルウェアをダウンロードする手法が増加中

TBC…