PowerGhost: 存在をつかめないマイニングに注意

企業ネットワークのワークステーションやサーバーに感染するファイルレスマルウェアが観測されています。

Kaspersky Labのエキスパートは先日、主に企業ネットワークを標的とする仮想通貨マイナーを発見しました。この仮想通貨マイナー「PowerGhost」はファイルレスマルウェアであり、標的とするワークステーションやサーバーにこっそり忍び込むことが可能です。当社がこれまでに観測した攻撃のほとんどは、インド、トルコ、ブラジル、コロンビアで見られています。

PowerGhostは企業インフラに侵入し、正規のリモート管理ツールであるWindows Management Instrumentation (WMI)を介してユーザーアカウントにログインを試みます。ログインIDとパスワードの取得には、Mimikatzというデータ抽出ツールが使われます。PowerGhostはまた、Windowsの脆弱性を突くEternalBlueエクスプロイトを通じて感染を広げることも可能です。EternalBlueはWannaCryExPetrでも利用されました。EternalBlueが利用する脆弱性は、理論上は1年も前に修正されているはずですが、実際にはいまだに悪用されています。

いったんデバイスに入り込むと、このマルウェアはOSのさまざまな脆弱性を利用して、権限の昇格を試みます(技術的詳細はSecurelistの記事(英語記事)を参照してください)。これに成功すると、システム内に足場を築き、仮想通貨を獲得するための活動を開始します。

PowerGhostが危険な理由

PowerGhostは、他のマイナーと同じように、他人のコンピューターのリソースを使って仮想通貨を生み出します。このためにサーバーやデバイスのパフォーマンスが低下し、消耗が促進され、機器の交換に至ればコストが発生することもなりかねません。

しかし、PowerGhostは悪意あるファイルをデバイス上にダウンロードしないため、一般的なマイナーよりも検知が困難です。このため、サーバー上やワークステーション上で長期間気付かれずに動作することが可能であり、被害が増大します。

さらに、あるバージョンのPowerGhost内には、DDoS攻撃を実施するためのツールが発見されました。企業のサーバーを使って別の標的にDDoS攻撃を仕掛け、その業務活動を停滞させ、まひさせることも可能です。

PowerGhostはまた、一般的なセキュリティ製品による検知を回避するために、実行環境が実際のOSかサンドボックスかをチェックするという特性を持っています。

PowerGhostを退治する

PowerGhostによる感染と攻撃から機器を保護するには、以下の対策をお勧めします。

  • ソフトウェアとOSのアップデートを欠かさない。これまでにマイナーによって悪用された脆弱性はすべて、ベンダーがかなり前に修正対応済みのものです。マルウェアの開発は、修正済みの脆弱性を基に行われる傾向があります。
  • 従業員のセキュリティ意識を向上させる。サイバーインシデントの多くは、人的要因がきっかけとなっています。
  • ふるまい分析テクノロジーを備えた、信頼できるセキュリティ製品を使用する。実ファイルを伴わない脅威を検知できるのは、ふるまい分析テクノロジーだけです。当社の法人向け製品はふるまい分析テクノロジーを搭載しており、PowerGhostとそのコンポーネントだけでなく、未知のものも含めたさまざまな悪意あるプログラムを検知します。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?