PowerShell Empireを利用した標的型攻撃 | LAC WATCH
2017年7月20日、そして7月24日と立て続けにアメリカ学会より同組織を装った不審メールが送信されていることが報告されました。(図1) 当社のサイバー救急センターの脅威分析チームが、この不審メールを調査したところ、この攻撃は、PowerShell Empireを利用した標的型攻撃の可能性があることが確認できました。 今回は、当該攻撃の調査結果を報告します。 アメリカ学会より報告された情報を元にVirusTotalやPassive Total等のサービスを利用して検体を調査したところ、アメリカ学会から報告があったと思われる不審メールが確認できました。(図2) このメールを確認すると、外部のストレージサービスからファイルをダウンロードさせ、別途送付されたパスワードで解凍させるという手口を利用しています。 図1 アメリカ学会からの緊急不審メール情報 図2 不審メール(一部抜粋) 図3は、外部の
LNKファイルを利用してマルウェアをダウンロードする手法が増加中 | トレンドマイクロ セキュリティブログ
「PowerShell」 は Microsoft が 開発した多目的のコマンドラインシェルおよびスクリプト言語です。これを利用して、さまざまなプログラムや Windows OS の標準機能が実行できます。目立たないようにバックグラウンドで動作させ、実行ファイルを利用せずに PC の情報を取得することが可能です。サイバー犯罪者にとって、このような PowerShell の特徴は魅力的です。PowerShell を利用した注目すべき事例としては、2016 年 3 月に確認された暗号化型ランサムウェア「PowerWare」や、同年4月に確認されたマルウェア「Fareit」の亜種があります。サイバー犯罪における PowerShell の利用は増加傾向にあるため、その対策についてもセキュリティ管理者の間で周知が進んでいます。 しかし、サイバー犯罪者は Windows ショートカットファイル(「.LN
エフセキュアブログ : PowerShellを悪用したマルウェアが徐々に増加の予感!?
PowerShellを悪用したマルウェアが徐々に増加の予感!? 2016年03月10日09:00 ツイート hiroki_iwa1 オフィシャルコメント by:岩井 博樹 侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送(メール、ウェブ経由)の際にも利用されているケースが出てきています。 まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。 現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。 下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。 その他では、XLSファイルにPowerShellが埋め込まれているものを確認し
Windows PowerShell、次は標的型攻撃での利用を確認 |
Microsoft が開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」のコマンドラインは、特にシステム管理のために設計された有益な Windows管理ツールです。PowerShell のコマンドラインは、コマンドラインの敏速性とスクリプト言語の順応性を兼ね備えています。これは、IT の専門家が Windows OS および Windowsアプリケーションの管理を自動化する際に役立ちます。 しかし、攻撃者たちはこの強力なスクリプト言語を再び悪用しています。トレンドマイクロは、2014年5月、今回の攻撃の発端として、「健康診断書」をかたる Eメールを確認しました。この Eメールは、米国に拠点を置く中国の新聞紙「Duo Wei Times」から送信されたように装っていました。この Eメールには圧縮ファイルが添付されており、不正なショートカットファイル(
Windows PowerShellを利用しWordおよびExcelファイルに感染する新たな不正プログラムのファミリを確認 |
Windows PowerShellを利用しWordおよびExcelファイルに感染する新たな不正プログラムのファミリを確認 Word および Excelファイルを対象とする不正プログラムは、以前から出回っていましたが、トレンドマイクロは、2014年3月、新たな不正プログラムのファミリ「CRIGENT」を確認しました。「Power Worm」としても知られるこの不正プログラムは、いくつかの新たな手法を備えています。これらの不正プログラムは、トレンドマイクロの製品では、「W97M_CRIGENT.A」および「X97M_CRIGENT.A」として検出されます。 最も重要なことは、「CRIGENT」が実行コードを作成したり含める代わりに、Microsoft が開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」を利用し、自身の不正活動を実行するというものです
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
伊藤 彰嗣 / ITO Akitsugu on Twitter: "AMSIによる防御の欠点: AMSI はPowershell エンジンが実行される場合常に有効になるが、欠点も。 Powershellv5 + Windows10 環境のみ有効 一部の難読化されたスクリプトは難読化されたまま Po… https://t.co/9Bzh2lvCbW"
Ransomware operators are hiding malware deeper in installer packages – Microsoft Malware Protection Center Blog
