ファイルレスマルウエアは「ファイルは作らない」が、何も作らないわけではない - wakatonoの戯れメモ

標的型攻撃に「ファイルレスマルウエア」が使われるようになって久しいが、標的型攻撃を仕掛けるモチベーション（きっかけ／やる気の源）は一体何か？を考えてみよう。 仕掛ける相手の持ってる情報が欲しい できれば長い期間、情報を継続的に獲得したい でも、仕掛ける相手に侵入するのは結構手間 となると、何らかの方法で（だいたいはHTTP/HTTPS経由）情報を持ち出す手段を攻撃を仕掛ける相手に仕込みたいとなる。 ファイルレスマルウエアは、単純にファイルをスキャンするツールではみつからない。 しかし、単にメモリ上にしか存在しないマルウエアは、永続性の観点で不安定である。「再起動したら消える」脆弱な存在だ。 それでは、永続化するためにはどうしたらいいのだろうか。Windows上でファイルレスマルウエアを永続化するのは、（わりかし）容易かなと思う。以下、例えばこんな方法がある、ちうのを挙げていく。 サービスに

[daruyanagi]

“攻撃者の立場に立って考えると、「永続化」という話は重要なポイントなので、永続化のための手法を押さえておくと、攻撃された痕跡を見つけるのに役立つかも”