ファイルでもメモリでもない

従来コンピュータウイルスといわれるものは、ファイルに存在するモノでした。
そして、マルウェアと呼ばれるようになったとき、ファイルにだけ存在するものではなくなり、ファイルを使うことなくメモリのみに存在するものも登場しました。
ファイルを使わない方式が猛威を振るう中、この種の脅威についても防御側のツールが対応できるようになってきています。
こうなると攻撃側はどうするでしょうか。
新しい方式が生まれています。

ファイルでもメモリでもない場所に自身を置くものがでてきました。
共通ログファイルシステム（CLFS：Common Log File System）です。
これは、Windowsに搭載される機構の名称で、ユーザーモードまたはカーネルモードで実行されているソフトウェアクライアントが使用できる汎用ログサービスです。
これは、ファイルでもメモリでもない場所であり、現在の多くの防御ツールではまだカバーできていない隠し場所です。
本来この機構は、Windowsがレジストリトランザクションやその他の大量の操作のためにデータを一時的に保存するために使用するコンテナです。
新しく観測されているマルウェアはここを自身のペイロードを保存する場所として使用します。

確認されたマルウェアは、STASHLOGとPRIVATELOGという名称で呼ばれます。
STASHLOGは、利用可能なCLFSコンテナーを選択し、CLFS APIを使用して、Windowsと同じ方法でデータをコンテナーに挿入します。
そのコンテナに挿入されたマルウェアのペイロードがPRIVATELOGです。
これまで確認されているファイルレス攻撃では、マルウェアのペイロードの置き場所はメモリであることが多かったわけですが、そこに新たな隠し場所としてCLFSがでてきたこととなります。

攻撃者はいろいろなタイムゾーンに存在し、いわば24時間体制で新しい攻撃手法をつぎつぎに送り込んできます。
防御側はどう対応していくことが良いでしょうか。
もはや自社のIT部門単独では太刀打ちできるものとは思えません。
防御側の力を合わせて対応していくことが必要な状況となったと思われます。

参考記事（外部リンク）：New Malware Uses Novel Fileless Technique to Evade Detection
www.darkreading.com/vulnerabilities-threats/new-malware-uses-novel-fileless-technique-to-evade-detection