PowerGhost: 存在をつかめないマイニングに注意

企業ネットワークのワークステーションやサーバーに感染するファイルレスマルウェアが観測されています。

Kaspersky Labのエキスパートは先日、主に企業ネットワークを標的とする仮想通貨マイナーを発見しました。この仮想通貨マイナー「PowerGhost」はファイルレスマルウェアであり、標的とするワークステーションやサーバーにこっそり忍び込むことが可能です。当社がこれまでに観測した攻撃のほとんどは、インド、トルコ、ブラジル、コロンビアで見られています。

PowerGhostは企業インフラに侵入し、正規のリモート管理ツールであるWindows Management Instrumentation (WMI)を介してユーザーアカウントにログインを試みます。ログインIDとパスワードの取得には、Mimikatzというデータ抽出ツールが使われます。PowerGhostはまた、Windowsの脆弱性を突くEternalBlueエクスプロイトを通じて感染を広げることも可能です。EternalBlueはWannaCryExPetrでも利用されました。EternalBlueが利用する脆弱性は、理論上は1年も前に修正されているはずですが、実際にはいまだに悪用されています。

いったんデバイスに入り込むと、このマルウェアはOSのさまざまな脆弱性を利用して、権限の昇格を試みます(技術的詳細はSecurelistの記事(英語記事)を参照してください)。これに成功すると、システム内に足場を築き、仮想通貨を獲得するための活動を開始します。

PowerGhostが危険な理由

PowerGhostは、他のマイナーと同じように、他人のコンピューターのリソースを使って仮想通貨を生み出します。このためにサーバーやデバイスのパフォーマンスが低下し、消耗が促進され、機器の交換に至ればコストが発生することもなりかねません。

しかし、PowerGhostは悪意あるファイルをデバイス上にダウンロードしないため、一般的なマイナーよりも検知が困難です。このため、サーバー上やワークステーション上で長期間気付かれずに動作することが可能であり、被害が増大します。

さらに、あるバージョンのPowerGhost内には、DDoS攻撃を実施するためのツールが発見されました。企業のサーバーを使って別の標的にDDoS攻撃を仕掛け、その業務活動を停滞させ、まひさせることも可能です。

PowerGhostはまた、一般的なセキュリティ製品による検知を回避するために、実行環境が実際のOSかサンドボックスかをチェックするという特性を持っています。

PowerGhostを退治する

PowerGhostによる感染と攻撃から機器を保護するには、以下の対策をお勧めします。

  • ソフトウェアとOSのアップデートを欠かさない。これまでにマイナーによって悪用された脆弱性はすべて、ベンダーがかなり前に修正対応済みのものです。マルウェアの開発は、修正済みの脆弱性を基に行われる傾向があります。
  • 従業員のセキュリティ意識を向上させる。サイバーインシデントの多くは、人的要因がきっかけとなっています。
  • ふるまい分析テクノロジーを備えた、信頼できるセキュリティ製品を使用する。実ファイルを伴わない脅威を検知できるのは、ふるまい分析テクノロジーだけです。当社の法人向け製品はふるまい分析テクノロジーを搭載しており、PowerGhostとそのコンポーネントだけでなく、未知のものも含めたさまざまな悪意あるプログラムを検知します。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?