ダイブブリーフ
これらのテクニックを組み合わせて使用することで、ハッカーは検出を回避できるとセキュリティ企業は述べています。
ダイブブリーフ:
- エンタープライズ環境からユーザーの認証情報を盗むマルウェアを隠すためにハッカーがAIを使用している可能性があると、ReliaQuestによると警告されています。
- マルウェアのAI対応の難読化とステルスな「ClickFix」技術を組み合わせた配信方法は、注視する価値のある強力な脅威を構成していると、研究者は月曜日に公開されたレポートで述べています。
- ReliaQuestは、ファイルレス操作がより従来の静的防御をバイパスできる可能性があるため、組織に対してネットワーク上のコンピュータの継続的な行動分析を実行してマルウェアを検出することを促しています。
ダイブインサイト:
レポートで説明されているマルウェア(DeepLoadというニックネーム)は、サイバーセキュリティの傾向における有害な組み合わせを表しています。ClickFix配信方法への依存とAIを難読化技術として使用する増加です。
過去数年間、ClickFix技術は、ユーザーをWindows TerminalまたはWindows PowerShellでコマンドを実行させることで侵入者に広範なアクセスを与える手法を伴っており、マルウェア配信方法として人気が高まっています。この技術は、合法的なユーザーが理論的には安全な動作を実行することを伴っており、セキュリティソフトウェアにとって検出が困難です。
正しいPowerShellコマンドを使用すると、結果は深刻になる可能性があります。
「このキャンペーンでは、この1つのコマンドでスケジュールされたタスクを作成することで、永続的でリブート後も継続するアクセスを確立するのに十分でした。ローダーを繰り返し再実行するように構成されています。その後、リモートスクリプト実行に悪用されることが多い合法的なWindows ユーティリティのmshta.exeが攻撃者のステージング インフラストラクチャに接続し、難読化されたPowerShellローダーをダウンロードしました」とReliaQuestは述べています。
そのローダーには「ルーチンスクリプトに似た無数の意味のない変数の割り当て」が含まれており、研究者はこの「ビジー」デザインがローダーの悪意のある機能をノイズの中に隠すことを目的としていたと述べています。
ReliaQuestは、人間が膨大な量のナンセンスコードを手動で生成する可能性は低いと考えています。
「テンプレートベースのツールは可能ですが、私たちが観察した品質と一貫性はおそらくAIを指しています。もしそうなら、かつて数日かかったかもしれないものは、おそらく午後に生成される可能性があります。AIが攻撃ロジック自体を書くのを助けた、単なるノイズではなく、その周りではなく、現実的な可能性でもあります」と研究者は述べています。
静的マルウェア検出ツールは、このような大量のコードの下で機能しなくなると、研究者は述べています。「ふるいにかけるノイズが多すぎるだけです。」
代わりに、ReliaQuestは、PowerShell Script Block Loggingと呼ばれるMicrosoftセキュリティ機能を使用して、コンピュータがPowerShellコマンドをリアルタイムで精査および記録できるようにすることを推奨しています。
ReliaQuestのレポートは、DeepLoadマルウェアがWindowsロック画面を実行するめったにチェックされないプロセスに埋め込むことで、Windowsオペレーティングシステム内に隠れる方法についても説明しています。
マルウェアは保存された認証情報と侵害後にユーザーが入力したパスワードの両方を収集できるため、ReliaQuestは侵害された組織に、影響を受けたマシンがアクセスできるすべてのパスワードを変更するよう促しました。
セキュリティ企業はまた、Windows Management Instrumentation イベント購読機能のハッカーによる悪用を監視する必要があると述べています。WMI購読は定義されたトリガーに基づいてコードを実行でき、有益な用途がある可能性がありますが、ほとんどのセキュリティチームはマルウェア感染を修復する際にならず者購読をチェックしないため、ReliaQuestは、ハッカーが修復後にDeepLoadを再配置するためにこの機能を悪用していると述べています。
翻訳元: https://www.cybersecuritydive.com/news/ai-malware-clickfix-deepload/816086/
