Pictlet #3 ファイルレスウィルス
5
Pictlet #3 ファイルレスウィルス アイデアクラフト 開米瑞浩 ✓ 本書はファイルレスウィルスに関する図解表現方法を分析・例示したピクトレットです。 ✓ 本書の著作権は開米瑞浩が保持しますが、図版の引用にあたって著作権表記をしていただく必 要はありません。本書の図版は自由に引用/改変使用可能です。 ✓ 本書の内容についての技術的正確性は保証しません。 ✓ 本書についての誤りの指摘や改善提案、別案の提供は末尾記載の連絡先までお願いします。
-
Upload
mizuhiro-kaimai -
Category
Education
-
view
246 -
download
1
Transcript of Pictlet #3 ファイルレスウィルス
Pictlet #3
ファイルレスウィルス
アイデアクラフト 開米瑞浩
✓ 本書はファイルレスウィルスに関する図解表現方法を分析・例示したピクトレットです。✓ 本書の著作権は開米瑞浩が保持しますが、図版の引用にあたって著作権表記をしていただく必
要はありません。本書の図版は自由に引用/改変使用可能です。✓ 本書の内容についての技術的正確性は保証しません。✓ 本書についての誤りの指摘や改善提案、別案の提供は末尾記載の連絡先までお願いします。
Copyright アイデアクラフト 2017
箇条書きテキスト
1
今回のテキストは、ファイルを作らないウィルスについての説明文(出典元の記事の文を簡略化して作ったものです)
感染のトリガーになる TROJ_ANDROMはUSBメモリーに潜んでいる。ユーザーがUSBメモリーをPCに接続してTROJ_ANDROM
を実行すると、あるプログラムがレジストリに書き込まれる。
その後パソコンを起動するとこのプログラムが自動実行され、JS_POWMETをダウンロードして実行する。JS_POWMETの実体は
JavaScript で、メモリーに直接読み込まれて実行され、ファイルとしては保存されない。
JS_POWMETは、TROJ_PSINJECTという別のウイルスをダウンロードして実行する。TROJ_PSINJECTの実体はPowerShellの
スクリプトで、やはりメモリーに直接読み込まれて実行され、ファイルとしては保存されない。
TROJ_PSINJECTは、さらに別のWebサイトからfaviconという名称のファイルをダウンロードし、メモリーに読み込む。ファイ
ルとしては保存しない。
このfaviconの中には、また別のウイルスBKDR_ANDROMが暗号化されて仕込まれている。このウイルスが最終的に実行される
ウイルスだ。TROJ_PSINJECTは、favicon中のBKDR_ANDROMを復号し、TROJ_PSINJECTのプロセスの一部として実行する。
BKDR_ANDROMはパソコンの設定情報や管理者アカウントの情報を盗んで攻撃者に送信する。
TROJ_ANDROMから始まる一連のウイルス感染では、JS_POWMET、TROJ_PSINJECT、BKDR_ANDROMが次々とダウンロー
ドされて実行されるが、いずれもファイルの形を取らず、メモリーに直接読まれて実行される。最初のトリガーとなる
TROJ_ANDROMもUSBメモリーに潜んでいるため、パソコン上には一切ファイルが作られない(レジストリの一部にデータが残
る)。
(出典:http://itpro.nikkeibp.co.jp/atcl/column/14/346926/090501112/?P=3 を元に簡略化)
さて、これを図解してみます
Copyright アイデアクラフト 2017
攻撃ターゲットのPC
攻撃者が利用するサーバー
レジストリ
ファイルレスウィルスの動作イメージ
2
ウィルスはターゲットのPC上のレジストリとメモリー上でのみ活動し、単独のファイルは生成されず、残らない
ダウンローダー
JS_POWMET
TROJ_PSINJECT
USBメモリー
TROJ_ANDROM
JavaScript
メモリー
PowerShell
favicon暗号ファイル
DL 実行
DL 実行
DL 復号
BKDR_ANDROM 実行
ユーザーが実行操作をすると、レジストリへダウンローダーを書き込む
設定情報、管理者アカウント情報
PC起動時に自動実行され、JS_POWMETをDL・実行
TROJ_PSINJECTをDL・実行
faviconをDL・復号してBKDR_ANDROMを生成・実行
PC上の情報を窃取
情報窃取
BKDR_ANDROM
Copyright アイデアクラフト 2017
図解上のポイント
3
「DL・実行」がペアで動く部分を揃える。「復号」は目立たせる
攻撃ターゲットのPC
攻撃者が利用するサーバー
レジストリ
ウィルスはターゲットのPC上のレジストリとメモリー上でのみ活動し、単独のファイルは生成されず、残らない
ダウンローダー
JS_POWMET
TROJ_PSINJECT
USBメモリー
TROJ_ANDROM
JavaScript
メモリー
PowerShell
favicon暗号ファイル
DL 実行
DL 実行
DL 復号
BKDR_ANDROM 実行
ユーザーが実行操作をすると、レジストリへダウンローダーを書き込む
設定情報、管理者アカウント情報
PC起動時に自動実行され、JS_POWMETをDL・実行
TROJ_PSINJECTをDL・実行
faviconをDL・復号してBKDR_ANDROMを生成・実行
PC上の情報を窃取
情報窃取
BKDR_ANDROM
「ファイルを作らない」ことを示すため、「メモリー」上で動くことを明示
Copyright アイデアクラフト 2017
お問合せおよびご感想受付
本書への質問、感想を歓迎します。下記お問い合わせ先へお送りください。
お問い合わせ先: http://ideacraft.jp/contactnotice/
IT技術者として働くうちに、複雑な情報をわかりやすく表現する必要性を感じ、その技術を研究。その経験を活かし、 2003年に社会人研修業務を起業。情報を論理的に整理し図解して「見える化」する技術と習慣の啓蒙・普及に取り組んでいる。
担当プログラム□エンジニアの文章図解・情報整理術□エンジニアのプレゼンテーション講座□難解な文書の持ち込み改善ワークショップ
公開講座・講演等実績中部産業連盟 日本テクノセンター SMBCコンサルティング日経BP社 その他、電機メーカー/航空サービス/光学機器メーカー等
著書等2017年 3月 日経SYSTEMS誌3月号 ロジカルシンキング特集2016年12月 (書籍)エンジニアを説明上手にする本 翔泳社2014年 6月 (書籍)エンジニアのための伝わる書き方講座 技術評論社2010年10月 (書籍)エンジニアのための図解思考再入門講座 翔泳社
著者プロフィール 開米瑞浩
4
