セキュリティ研究者たちは、エンドポイント検出・対応（EDR）システムをすり抜けるために、メモリ内PEローダーを利用した新たな攻撃の波を発見しました。

これらの攻撃では、脅威アクターは悪意のあるリンクや添付ファイルを介して、被害者に小さなダウンローダーを送りつけます。このダウンローダーが実行されると、リモートサーバーから完全なPortable Executable（PE）ファイルをフェッチし、信頼されたプロセスのメモリに直接マッピングします。この手法により、ペイロードはディスクに一切触れることなく実行され、従来のアンチウイルスやEDRツールによる検出やブロックが極めて困難になります。

### メモリ内PEローダーの仕組み

メモリ内PEローダーは、正当なオペレーティングシステム機能を悪用し、コードを完全にメモリ内でダウンロード・実行します。まず、初期のスタブがWinInetなどのAPIを使用して、攻撃者が制御するURLから悪意のあるペイロードを取得します。次に、スタブは実行中のEDR承認済みプロセス内に仮想メモリ領域を割り当て、ダウンロードしたEXEの生バイトをコピーします。

その後、PEヘッダーを解析し、各セクションを適切な仮想アドレスにマッピングし、コードが正しく実行できるようにインポートと再配置を修正します。各セクションに適切なメモリ保護（例えば、コードページを実行可能としてマークするなど）を設定した後、ローダーはペイロードのエントリポイントにジャンプし、悪意のあるコードに制御を渡します。この一連のフローは、ディスク上に悪意のある実行可能ファイルを一切残さないため、ファイルスキャンやファイルシステムアクティビティに基づく検出を回避します。

初期のスタブは無害に見え、メインペイロードは信頼されたプロセス内で実行されるため、プロセス作成やメモリ動作を監視する高度なEDRシステムでさえ、これらのステップを見逃したり、誤分類したりすることがよくあります。

### 攻撃の拡散と影響

報告によると、最近のキャンペーンでは、これらのメモリ内ローダーが、不正なメール添付ファイル、偽のソフトウェアアップデート、および侵害されたウェブサイトを通じて配信されています。被害者は、一見無害に見える数キロバイトのダウンローダーを起動するように騙されます。その小さなファイルが、クラウドストレージリンクやGitHubリポジトリから、カスタムツール、リモートアクセス型トロイの木馬、認証情報窃取ツールなど、はるかに大きなPEペイロードを引き込みます。

ペイロードがディスクに書き込まれないため、フォレンジック調査官は攻撃後に証拠を見つけるのに苦労する可能性があります。ある事例では、攻撃者がローダーを使用して、人気のあるユーティリティを装ったリモート管理ツールをフェッチしました。このツールは正当なプロセスに注入され、脅威アクターはネットワーク内で横方向に移動し、機密データを盗むことができました。署名ベースの防御のみに依存していた組織は、対応する前にエンドポイントが侵害されていました。

### 防御策

防御側は、複数のテレメトリーソースを組み合わせることで、メモリ内PEローダーの検出を改善できます。VirtualAlloc、WriteProcessMemory、VirtualProtectなどの異常なAPI呼び出しを監視することで、コードインジェクションの試みを明らかにできます。ユーザープロセスからの予期しないネットワーク接続を追跡する異常検出も、疑わしいダウンロードアクティビティを特定するのに役立ちます。メモリ整合性チェックとエンドポイント行動分析を導入することで、これらの隠れたローダーをリアルタイムで発見できます。

防御を強化するためには、組織は厳格なアプリケーション許可リストを適用し、ライブプロセスを検査できるメモリ検索ツールを展開し、機密環境をセグメント化して横方向の移動を制限する必要があります。メモリ内攻撃をシミュレートする定期的な脅威ハンティング演習は、可視性を高め、チームが迅速に対応する準備を整えます。ファイルレス技術に対する最新の検出ルールでEDRソリューションを更新し続けることも不可欠です。

元記事：[Attackers Bypass EDR by Using In-Memory PE Loaders Delivered via Malicious Downloads](https://gbhackers.com/in-memory-pe-loaders-bypass-edr/)