もうすっかり業務の基盤として

PC（パソコン）は必要不可欠な存在となっている

出納や顧客管理、実務のデータベース等々・・・

開業して20年、膨大なデータを一瞬で示してくれる

まさに「相棒」というべき存在。

 

3日ほど前の出来事

 

同志の集う、世界的なフォーラムで情報を中っていた時

そこには仕事に役立つ情報源、困った時の助け合いの場として

参加をしていて

「こんなソフトウエアがあるよ」との紹介を見かけ

「こりゃ助かるわ」とダウンロード申請、そしてそれは「無料」

 

参加メンバーの書き込みも「Thanks！」「Great job」と上々

 

ダウンロードを済ませ、アプリを起動・・・

 

「このアプリを閲覧するためには

　　　ベースアプリのアップデートが必要です」

 

所謂「プラグインソフト」というヤツだね

今回は「.net framework4.8」を高機能化させる類だったみたい

 

そちらへ誘導され、疑うことなくプラグインソフトを

インストール・・・これがマズかった。。。

 

表立っては、プラグインアプリは有効化され

目的のアプリを稼働させる事ができたのですが・・

今思えば、ダウンロードサイトは乗っ取られたニセモノ

ダウンロードしてプラグインをロードした時点で

PCのデータ網に「バックドア」を仕掛けられたようです

 

数時間後

PCのセキュリティソフトが頻繁に警告を出し始める・・・

「？？何か変だな」と気がついても後のカーニバル

 

セキュリティソフトのログを辿ってみると

 

Powershellを使って外部に接続しようとした為

　　　　　　　　　　　　それをブロックしました旨

 

この警告がズラリ・・・

不思議と警告は「◯時01分」きっかり

どうやら毎時01分に定期的にPCを強制稼働させ

重要なデータを吐き出させる仕掛けのよう

 

慌てて、セキュリティソフトでウイルススキャンを実行しても

「問題は見つかりませんでした」の繰り返し

どういう事？？

 

事態が掴めず、慌てて情報を収集すると

「ファイルレスウイルス」というヤバい奴に

喰い付かれたと気がつく・・・

 

これまでの「ウイルス」は

PCのデータ、例えば実行ファイル.exeやdllを改ざんして

それがデータシステムを破壊したり

重要なファイルを流出させたりする類で

数多いセキュリティソフトも、それに的を絞ったものが殆ど

 

今回のファイルレスウイルスは

セキュリティソフトのチェックをスルーしてしまうらしく

まさにセキュリティの裏を突く最新・最悪の存在

ファイルレスだから実態が無いのです

だから見つけられず「正常」と判断してしまうらしい

 

あらゆる解説を見ても

「現時点ではセキュリティソフトでの対処はできない」

と括られている・・・

 

どういう事なんだ？

 

さらに調べると

「ウイルスレス攻撃はPC本体ではなくUSBメモリーや

　周辺機器に潜り込み被害を拡げる」

 

・・・だからファイルレスなのか・・・

 

つまりはこう

PCから侵入したウイルスはHDDやSSDのデータ内ではなく

記憶媒体を持った機器に侵入しデータを改ざん

そこからPCを遠隔操作し外部へ情報を漏洩させる

例えばPCの起動時に「BIOS」って黒っぽい画面が

ありますね？それはWindows起動の重要な下支えをするプログラムで

BIOSも書き換え可能な記憶媒体（EEPROM）に入っています。

 

となるとBIOS・グラフィックボード・LANボード・・・

ファームウエアのアップデートが可能な機器には

すべてEEPROMが備えられていますので

例えばグラボのEEPROMデータの隙間に情報を書き込まれてしまったら

それはWindowsOSからは正常と見なされ

セキュリティソフトも発見ができない事になります。

実態が無い（見えない）まさにファイルレス

 

PCが起動する度、ウイルスは活動を始めPCのメモリー領域に

実行の命令を書き込みます→PCがシャットダウンされると

メモリーも空っぽになりますから何も残らない

PC起動→活動開始→メモリーへ書き込み→実行

 

耳カツ？Mimikatz

 

今回は、Windows標準搭載の「PowerShell」という

プラグインアプリを強制駆動させ

PCの情報を漏洩させる「スクリプト」を実行させようと

するもののようです

PC側からすれば、操作する人間がPowerShellを使うことには

何も疑いを持たないので、隠れ蓑から司令を発生されても

それが異常な動きとは判断ができない

唯一の救いは、Defenderが

外部への不審な接続を検出→ブロックしてくれていた事でした。

怪しいスクリプト

 

”!#SLF:HackTool:PowerShell/Mimikatz!trigger”

 

Mimikatzという潜伏型ウイルスがPowerShellを使って

外部接続を試みようとした形跡があります

 

Minikatz 耳カツだと？ふざけんなよ 

ブルドッグソースでもかけてやるわ・・・

 

ファイルレスウイルスの一種らしく

ここ数年でかなりの被害を及ぼしているらしい

 

しかし耳カツ、何処にいるんだ？

 

何度、ファイルスキャンをしても「正常です」としか

判断できず・・・

思い切ってOSをリカバリーするも、毎時01分に耳カツ登場

 

情報サイトは、異口同音で

「Windowsを再インストールするのがベスト」とされているが

コイツら何も分かってない事が分かっちゃった

だって周辺の機器に潜まれたら、何度OSをリカバリーしようが

状況が変わらないから

 

どうしよう・・・とうとう夜が明けた

嫁さんが寝起き顔で「どうした？」と驚く

 

「耳カツにやられた・・・」

　　　　「耳？カツ？何のこと？」

 

かくかくしかじか・・・状況を話すと

「とにかく寝ろ・一旦寝ろ」と言われた

確かに・・あまりのストレスでぼーっとしていては

冷静な判断はできない・・それさえも判断できないほど

疲れ切っていた。

 

数時間の仮眠をして、少しスッキリした。

 

相変わらず耳カツは、私のPCで跋扈していやがる

PCの全体的なパフォーマンスが微妙に低下

している事にも気がついた・・これも耳カツのせいだろう

 

Minikatzについて更に調べる・・・

概要を記した記事はあるのだけれど

そこには決定的な手段は見つからなかった。

 

なんとか一撃を加えてやる・・・

 

そんな中、耳カツについて「対処法」を記してくれている

サイトに辿り着いた・・・

 

 

そこには「Malwarebytes」というアプリを使って検出せよと書いてある

出どころの不明なアプリをインストールするのは抵抗があったが

一縷の望みをかけてみることにした。

 

まんじりともせずスキャン画面を見つめる

 

すると15か所に及ぶ「!」コーションが表示された

 

詳細を確認すると

・レジストリに不審な点

・通信ゲートウエイに異常なping

・通常は有りえないスクリプト

 

まさか・・・検出してくれたのか！

 

それらを改善、もしくは削除という順序で

マルウエアバイトを終了させた

 

まもなく定例の◯時01分がやってくる

・・・・・・・症状が治まった！

 

2日間に渡って私を地獄に引き込んだ

Mimikatzとの戦いはここで幕引きとなった

 

念の為、PCを再起動させて様子を見る・・

そしてある事に気がついた

 

Wi-Fiルーターが

これまでになく不調になっている

 

 

あ！まさか

このルーターに巣食ってたのか？

狡猾な耳カツだわ

 

不確定なことだが

.net frameworkのアップデートを実行した時点で

ウイルスに感染、それはPCのシステムではなく

wi-fiルーターの書き換え可能な領域に潜んだ

場合によってはLANボードにも強制同期をさせていたかもしれない

 

Mimikatzは実行ファイルでもなく

スクリプトを強制実行させる・レジストリを改変する

シンプルなバッチファイル？で

最後のスキャンによって取り除かれた結果

Wi-FiルーターとLANゲートウエイとの同期が崩れ

ルーターの故障が起きた・・と思う