イベントログに隠されたファイルレスマルウェア

通常マルウェアはユーザに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行します。
ですがなかには、ディスクには痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手段もあります。
これを「ファイルレスマルウェア」「ファイルレス攻撃」などと呼びます。

こういったファイルレスマルウェアに、新しい要素が盛り込まれたマルウェアが実際に活動していることが確認されています。
マルウェアの内容をWindowsイベントログに保存して利用する手法です。

ファイルレスマルウェアには共通の厳密な定義があるわけではありませんが、これは従来は想定されていなかった手法です。
ディスクに独立した1つのファイルとしては痕跡を残さないが、イベントログの中の情報としてマルウェアの内容を記録して活用する方式というわけです。

この手法を成り立たせるためには、周辺の活動も様々な取り組みが必要となります。
そもそもとしてイベントログにマルウェア内容を記録する活動が必要となるわけですし、記録したマルウェア内容を読みだしてマルウェアとして動作する状態に移行させるための仕組みの実現も必要です。
全体としてかなり大掛かりなものとなります。

マルウェアの実施する様々な手法はMITRE ATT&CKで分類して理解することができます。
MITRE ATT&CKにはさまざまなセクションがあり、そのなかに防御回避があります。
そしてそのなかにはアーティファクトを隠すという部分もあるのですが、そこではイベントログに隠す手法は列挙されていませんでした。
MITRE ATT&CKへの手法の追記が検討されることになるかもしれません。

ちなみに、少し前に嫌なものが公開されています。
イベントログにシェルコードを挿入する手法と取り出す手法を実現した概念実証コードです。
公開場所はGitHubです。
このアイデアの悪用が広がってしまうのかもしれません。

参考記事（外部リンク）：A new take on “fileless” malware: malicious code in event logs
www.kaspersky.com/about/press-releases/2022_a-new-take-on-fileless-malware-malicious-code-in-event-logs