ファイルレスマルウエアは「ファイルは作らない」が、何も作らないわけではない - wakatonoの戯れメモ標的型攻撃に「ファイルレスマルウエア」が使われるようになって久しいが、標的型攻撃を仕掛けるモチベーション(きっかけ/やる気の源)は一体何か?を考えてみよう。 仕掛ける相手の持ってる情報が欲しい できれば長い期間、情報を継続的に獲得したい でも、仕掛ける相手に侵入するのは結構手間 となると、何らかの方法で(だいたいはHTTP/HTTPS経由)情報を持ち出す手段を攻撃を仕掛ける相手に仕込みたいとなる。 ファイルレスマルウエアは、単純にファイルをスキャンするツールではみつからない。 しかし、単にメモリ上にしか存在しないマルウエアは、永続性の観点で不安定である。「再起動したら消える」脆弱な存在だ。 それでは、永続化するためにはどうしたらいいのだろうか。Windows上でファイルレスマルウエアを永続化するのは、(わりかし)容易かなと思う。以下、例えばこんな方法がある、ちうのを挙げていく。 サービスに
