Re:メモリ上にダウンロードしたコードを直接実行 (#3753454) | 不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向

「不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向」記事へのコメント

記事ページを表示すべてのコメント取得

検索27コメント Log In/Create an Account

メモリ上にダウンロードしたコードを直接実行 (スコア:0)

by Anonymous Coward

どういうことですかね？
bash -c "echo foo" みたいな話？
- Re:メモリ上にダウンロードしたコードを直接実行 (スコア:1)
  
  by Anonymous Coward on 2020年01月30日 15時35分 (#3753454)
  
  PowerShellというより.NETの機能として、メモリ上の.NETモジュールのバイナリをロードできるので、それのことかな。
  本体のマルウェアをネットワークからダウンロードしてメモリ上に展開し、.NETランタイムにロードすることで、
  ディスクに書き込まずに悪意あるプログラムを実行できる。
  PowerShellは.NETランタイムで動作しているので、読み込まれたモジュールを直接呼び出せる。
  リンクされているMcFeeのホワイトペーパーによれば、
  「検知にファイルベースのアプローチをするほとんどのセキュリティソリューションは動作監視をしていたとしてもファイルレス攻撃を検知できない」
  とある。
  
  シェア
  
  親コメント
  - Re:メモリ上にダウンロードしたコードを直接実行 (スコア:1)
    
    by Anonymous Coward on 2020年01月30日 17時00分 (#3753509)
    
    これ System.Reflection.Assembly.LoadModule() [microsoft.com] ですね。.NETではバイト配列からアセンブリを読み込めるんですね。
    とはいえ、本体のダウンロード、読み込みを行うPowerShellスクリプトは必要になるので、検出するのはさほど難しくない気はしますが。
    PowerShellは難読化しやすいとも書いてあるけど、うーん、どうかな。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      マルウェアかどうか判定するのは簡単かな？
      すべて公開APIで可能な処理だし、「外部URLからダウンロードしたアセンブリを読み込むプログラム」というだけでマルウェア扱いはできない気がする。
      ダウンロード先のURLで判断するくらいだが、URLなんていくらでもばらけさせられるし、
      white paperにはこれを複数段階かませてるって書いてあるし、結構手ごわいのでは。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        >ダウンロード先のURLで判断するくらいだが
        ホワイトリストで対応するしかないでしょうね。
        開発者くらいでしょう、リストに追加する必要が生じるのは。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    .NETの機能に限らず、対話的にスクリプトを実行できる機能が提供されていれば、
    ダウンロードしたデータがテキストかバイナリかの違いはあれど、
    実現はできそうなきがする(Windows上で高機能な環境として
    Powershellが選ばれているってだけで)
    # 昔、話題になった遠隔操作と何が違うのだろう？

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向 More ログイン

「不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向」記事へのコメント

メモリ上にダウンロードしたコードを直接実行 (スコア:0)

Re:メモリ上にダウンロードしたコードを直接実行 (スコア:1)

Re:メモリ上にダウンロードしたコードを直接実行 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド