How to Identify and Remove Fileless Malware

「ファイルレスマルウェア」という用語を探すと、インターネット上で広範囲の定義が見つかります。 「スクリプト」、「エクスプロイト」、「検出できない」などの用語に遭遇することがよくあります。ファイルのないマルウェアでも弱点があり、その活動が検出される可能性があります。

ファイルレスマルウェアは、悪意のあるコンテンツを一般的に使用されているWindowsファイルシステムに保存しない一種のマルウェアです。ファイルレスマルウェアは、通常の方法ではなく、悪意のあるコードを影響を受けるコンピュータのランダムアクセスメモリ（RAM）内に読み込みます。 Windowsのレジストリ値などの別の場所として、または直接インターネットからそれを使用します。

悪意のあるファイルが作成されるのではなく、マルウェアは他の場所にコードを保存します。この種の攻撃の背後にある考え方は簡単です。ハードドライブに悪意のあるコードが存在しない場合、インストールされたセキュリティソフトウェアはスキャン時にそれを見つけることができません。その名前が示すとおり、ファイルレスマルウェアは厳密にはファイルレスではありません。スクリプトファイルやショートカットがまだ存在する可能性がありますが、それらは悪意のあるコードを指し示してロードします。

この種のアプローチの背後にある考え方は、検出をより困難にし、マルウェア除去までの時間を長くすることです。これが行われる可能性がある1つの方法は、攻撃者がインストールされたセキュリティソフトウェアを回避することを可能にするエクスプロイトの使用を通してです。悪意のある添付ファイルも感染を拡大するために使用される可能性があります。クリック詐欺攻撃と暗号化は、この種のマルウェアが最もよく使用される2つの分野です。システム上のその種のマルウェアの例は、依然として検出される可能性があります。正規のWindowsプロセスによる高いCPU使用率、なんらの理由もない高いGPU使用率、不意に表示される不審なエラーメッセージなどはこの種の感染の兆候である可能性があります。

ファイルレスマルウェアを識別する方法

ほとんどのユーザーは、ファイルのないマルウェアを見つけることを干し草の中のことわざに似たタスクと考えるかもしれません。悪意のあるコードが隠されていても、その行動の背後には統一された規則が強制されています - それはロードポイントを必要とします。

他に利用可能な情報がないと仮定すると、ロードポイントは通常見始めるのに最も便利な場所です。ロードポイントが発見されると、攻撃の中核を成す悪意のあるコードにつながる一連のショートカットとスクリプトがしばしば存在します。

多くの場合、この種のマルウェアはWindows Management Instrumentation（WMI）やPowerShellなどの正規のWindowsツールを制御し、それらを使用してコマンドラインレベルで動作します。 PowerShellは信頼性が高いため、多くのセキュリティスキャンでは、特に指定されていない限り、チェックは行われません。

Fileless Malwareを削除する方法

ファイルレスマルウェアに関しては、すべてのコンポーネントを特定して削除する必要があります。それ以外の場合は、最初のコンポーネントが削除されるまでにチャンスがあります。感染全体が回復します。すべてのコンポーネントが特定されたら、削除は簡単なプロセスです。マルウェアの除去プロセスは、感染状況によっては、レジストリエントリを手動で削除する必要があるかもしれませんが、適切なセキュリティソフトウェアが必要です。

使用していない場合は、PowerShellとWMIを無効にすることをお勧めします。使用されていないマクロを無効にすること、およびデジタル署名なしでマクロを使用することを回避することは、この種の感染を防ぐことができる2つの方法です。セキュリティログで、ネットワークを離れる大量のデータをチェックする必要があります。選択したセキュリティソフトウェアを定期的に更新することは、定義を最新の状態に保つために絶対必要です。