雑記 > 無料ウイルス対策 > PowerShell

PR 国内メーカー東芝の直販 − 4万円台からノートPC安い!

PowerShell悪用ウイルス感染の無料対策 迷惑メールからファイルレスマルウェア攻撃

Windows 7、Windows 8、Windows 10 に標準で実装されてるスクリプト実行環境 Windows PowerShell をうまく悪用してマルウェアを効率よく送り込むウイルス感染攻撃が広く確認されてます。

パワーシェルPowerShell is an automation platform and scripting language for Windows and Windows Server that allows you to simplify the management of your systems. Unlike other text-based shells, PowerShell harnesses the power of the .NET Framework, providing rich objects and a massive set of built-in functionality for taking control of your Windows environments.
https://docs.microsoft.com/ja-jp/powershell/

PowerShell パワーシェル とは?
PowerShell は Windows や Windows Server 向けの自動化環境とスクリプト言語で、システムの管理を簡素化できます。他のテキストベースの Shell(シェル) とは異なり、PowerShell は .NET Framework の機能を活用して豊富なオブジェクトと Windows 環境を制御する多くの組み込み機能を提供します。

PowerShell 悪用のウイルスメール実例

PowerShell の悪用は特定の組織が限定的に狙われる標的型サイバー攻撃だけでなく、決して対岸の火事の出来事ではないです。

家庭や企業など区分けなく世界中の Windows ユーザーを無差別に狙い ファイルを暗号化して身代金を要求するランサムウェア を感染させる場面だったり、明確に日本国内の Windows ユーザーを集中的に狙い ネットバンキング不正送金ウイルス Ursnif/Dreambot を感染させる攻撃キャペーンでも Windows PowerShell が平然と悪用されてます。

楽天カード利用のお知らせ迷惑メール PowerShellを悪用処理を含むスクリプトファイルをダウンロードさせる
楽天カード詐欺メールも PowerShell を悪用するウイルス攻撃

ウイルスメールのファイル形式

PowerShell が悪用される攻撃は、普通の一般ユーザーも受信する英語や日本語の 迷惑メール(スパムメール) から始まります。

メールの添付ファイル、あるいはメール本文中のリンクからダウンロードした不正なファイルを Windows ユーザーの意思でポチポチッとダブルクリックして開いてもらう古典的な手口で、具体的に次のファイル形式が投入されます。

PowerShell 悪用ファイル
スクリプトファイル
拡張子 .js .jse .vbs .wsf
Officeファイル - マクロ
拡張子 .doc .docm .xls .xlsm
ショートカット
拡張子 なし (.lnk
Officeファイル - DDE
拡張子 .doc .docx
HTMLアプリケーション
拡張子 .hta
DOSファイル
拡張子 .cmd

これらファイルは セキュリティソフト のウイルス定義データで脅威と判定されるまでスリ抜ける傾向が見られるファイル形式 でもあり、自力で ”怪しい” と見抜く知識のない Windows ユーザーさんが誰からも阻止されることなく踏み抜く危険性があります。

楽天カード利用のお知らせメール 楽天銀行の重要な情報.PDF.js
PowerShell の処理を含むスクリプトファイル実物

PowerShell 悪用に気づけない!? ファイルレス攻撃

攻撃の引き金をユーザーが引く時に PowerShell のコマンドが記述されたスクリプトファイル(拡張子 .ps1) をユーザーが開く場面はいっさいありません。 (;_;)< PowerShell のウィンドウ画面が表示されることもない

ファイルレスマルウェアやファイルレス攻撃はウィンドウ画面は表示されない PowerShell 悪用例
黒い画面コマンドプロンプトの次世代版 Windows PowerShell

これを 「ファイルレスマルウェア」「ファイルレス攻撃」 といった用語で危険性を指摘するセキュリティ記事を見かけるけど、PowerShell はマイクロソフトの正規プログラムなのでセキュリティ製品は必ずしもブロックしてくれず、通常では目に見えない裏側で行われる攻撃で PowerShell が悪用されてる事実にユーザーはそもそも気付けません。

ファイルレス とは?
英語で fileless。名詞に付ける接尾辞 「-less」(…の無い、…を持たない、…を欠く) からなる表現。

実際に不正なスクリプトファイルやエクセルファイルを開いた直後に PowerShell の実行ファイル powershell.exe がシレッと動き、ネットバンキングウイルスをダウンロードする PowerShell スクリプトがメモリ上に展開されてる実例がコチラ♪

ファイルレスマルウェアの処理を発動させるスクリプトファイルを開いた直後の Windows のプロセスです。

ファイルレスマルウェアなスクリプトファイルjsを開いたらプロセスにpowershell.exeが起動する
「js → powershell.exe → .exe」

ファイルレス攻撃で実行されたネットバンキングウイルスをダウンロードするPowerShellスクリプト
ファイルレス攻撃でメモリ上に展開された PowerShell スクリプト

ファイルレスマルウェアの処理を発動させるエクセルファイルを開いた直後の Windows のプロセスです。

ファイルレスマルウェアなエクセルファイルxlsを開いたらプロセスにpowershell.exeが起動する
「.xls → マクロ許可 → powershell.exe → .exe」

残念ながら、この PowerShell が使われるファイルレス攻撃によりネットバンキングウイルスに殺られてしまう陥落者が日本国内で複数出現してる深刻な報告が挙がってます。 (2017年12月)

インターネットバンキングに係る コンピュータウイルスDreamBotに関する注意喚起
警察庁では、インターネットバンキングに係るコンピュータウイルスDreamBotに感染したことにより不正に窃取されたインターネットバンキングのユーザID・パスワード等が急増(平成29年7月〜9月は月20件程度であったが、10月以降は月70件程度となっている。)していることを確認しています。
http://www.npa.go.jp/cyber/policy/20171211.html

実例で学ぶネットの危険:「ディズニーランドの入場券をご獲得になりました!」 - トレンドマイクロ
URSNIF」が感染することにより、被害者は各種金融機関やクレジットカード、仮想通貨取引所などのサイトの認証情報を詐取される可能性があります。トレンドマイクロ SPN の統計では、今回のメールから拡散された不正プログラムについて、国内で 300 台以上の検出を確認しています。今回のメールに関しては不自然な日本語など「不審」と気づける点も多かったものと言えますが、それでも実際に URL をクリックし、ファイルをダウンロードまたは開いてしまった受信者もいたことがうかがえます。
http://blog.trendmicro.co.jp/archives/16602

DDE を悪用するワード文書

2017年10月、Microsoft Office の Dynamic Data Exchange(DDE、動的データ交換) という機能を悪用して PowerShell スクリプトを実行し、ランサムウェア やネットバンキングウイルスを感染させる攻撃が広く確認されました。

このファイルレス攻撃の手口はメールに不正な ワード文書ファイル(拡張子 .doc/.docx)を添付して Windows パソコン上で開かせるもので、日本のメールアドレス宛てにも配信されてます。

いちおうファイルレス攻撃が成立する条件が存在し、次の2つの確認ダイアログが表示された時にユーザーの意思で [はい(Y)] ボタンをポチッと押すことが必須です。

DDE悪用攻撃を防ぐ無料ウイルス対策

DDE を悪用する攻撃を防ぐ無料ウイルス対策として、Microsoft Word のオプション → 左メニューの [詳細設定] → 「全般」 の [文書を開いたときにリンクを自動的に更新する(U)] のチェックマークを外します。

また、DDE の悪用の対処は次期 Microsoft Office へ持ち越すことをことを示唆していたマイクロソフトは、方針を転換して2017年12月に DDE の機能をデフォルトで無効化するセキュリティ更新パッチ ADV170021 を Windows Update で配信しました。

PowerShell悪用ウイルスにファイアウォール

PowerShell を使うウイルス感染被害を効果的に防ぐのに 『怪しいファイルを開かない』 的な精神論では必ずしも意味がありません。

ここではファイルレスマルウェアのファイルレス攻撃に対抗するため セキュリティソフトに実装されてるファイアウォールWindows ファイアウォール の出番です。 (*´q`)<PowerShell のためだけに追加の投資は不要

PowerShell悪用でネットバンキング不正送金ウイルスやランサムウェア身代金要求ウイルスの被害 無料Malware Windows Firewall感染防止
セキュリティが強化された Windows ファイアウォール で powershell.exe をブロック

PowerShell は 外部ネットワークからウイルス本体データをダウンロードする役目(ダウンローダー型トロイの木馬) を担うことが多いので、ファイアウォールの送信側(アウトバウンド)で powershell.exe の通信をあらかじめブロックしましょう。 (^o^)<手っ取り早く効果も強力なウイルス対策♪

  1. スクリプトファイルのウイルス感染を防ぐ無料対策 … 拡張子 .js .jse .vbs .wsf
  2. マクロウイルスの感染を防ぐ無料対策 … 拡張子 .doc .docm .xls .xlsm
  3. ランサムウェア対策に効果的なファイアウォールの設定 ←解説

なお、Windows Update は一般的なセキュリティ対策としては重要事項だけど、こと PowerShell を悪用するファイルレスマルウェアの前では感染被害を回避する効果がいっさいありません。

ウイルス対策確認スクリプト

Windows の コマンドプロンプト を起動して、次のパラメータをコピペしエンターキーを押します。

処理内容は、例示で使われる安全なサンプルドメイン example.com に接続してHTMLファイルをダウンロードし、その内容を Windows のデスクトップにテキストファイル 「powershell-download-test.txt」 という名前で保存します。 (^w^)b<危険な処理なし

cmd /c powershell(new-object System.Net.Webclient).DownloadFile('http://example.com/','%USERPROFILE%\Desktop\powershell-download-test.txt')

ファイアウォールで powershell.exe の通信をブロックしておらず攻撃に悪用されうる状態だとテキストファイルがシレッと作成される一方、正常にブロックできてるなら 『リモート サーバーに接続できません』 というエラーになります。

ファイアウォールでPowerShell悪用ウイルス手口にマルウェア感染対策 ファイルのダウンロード動作確認サンプル
powershell.exe の通信が正常にブロックされてる場合のエラー

PR 《Yahoo!ショッピング特集》 Tポイントが抽選で当たる無料ポイントくじも!

キーワードφ(..)メモメモ
[PowerShell ウイルス対策] [PowerShell マルウェア] [PowerShell ウイルス 実例] [ファイアウォール ウイルス 設定] [PowerShell 危険性] [PowerShell 拡張子] [無料 ランサムウェア対策] [ウイルスメール 対策] [メール 添付ファイル 対策] [vbs 拡張子 ウイルス] [js 拡張子 ウイルス] [ショートカット ウイルス 手口] [doc 拡張子 ウイルス] [標的型攻撃 ウイルスメール] [ファイルレス 感染] [パワーシェル マルウェア] [PS ウイルス] [ファイルレス 攻撃] [ファイルレス マルウェアとは] [ファイルレス ウイルス] [ファイルレスマルウェア 手口] [ファイルレス攻撃 対策] [DDE ウイルス] [Dynamic Data Exchange 悪用] [X2KM_POWMET ウイルス] [W2KM_POWLOAD ウイルス] [PowerShell/TrojanDownloader.Agent ウイルス] [JS_POWMET ウイルス] …

オンラインスキャン | ネット通販詐欺 | サポート詐欺 | ランサムウェア対策 | 迷惑ソフト一覧

雑記 > 無料ウイルス対策 > PowerShell


Copyright © Let's Emu!. All rights reserved.