LOTL攻撃

LOTL攻撃の概要

2020年のサイバー脅威レポートで、危うい傾向が明らかになりました。初期段階でサイバーセキュリティの専門家が各種サイバー犯罪の急増を確認しました。さらに懸念すべきは、国家や独立組織の支援を受けたサイバー犯罪者によるLOTL攻撃が増加している証拠が見出された点です。

「LOTL」という略称は「Living Off the Land」の手法を意味します。LOTL攻撃では、攻撃者が一見無害な管理ツールを利用して、警戒されることなくネットワークに侵入します。多くの場合、攻撃はまずフィッシングなどの手法でネットワークへ侵入することから始まり、その利用は近年著しく増加しております。

これらの攻撃は痕跡を残さない点が特徴であり、ファイルレス型の脅威と呼ばれる所以です。実行ファイルやウイルスが存在しないため、多くのセキュリティソフトでは異常な動作を検出できません。

LOTL攻撃はどう機能する？

これらの攻撃はファイルレスで、攻撃者が対象システムにプログラムやスクリプトをインストールする必要はありません。代わりに、PowerShell、Windows Management Instrumentation（WMI）、またはMimikatzなどの既存ツールを利用して認証情報を盗みます。

企業が標準ツールを利用している場合、特に従来のセキュリティ対策が既知のマルウェアスクリプトやファイルを探すものであれば、攻撃を特定するのは非常に困難です。そのため、攻撃者は被害企業内に数週間、数ヶ月、あるいは数年も潜むことが可能となります。

なぜLOTL攻撃はサイバー犯罪者に魅力的なのか？

2021年第4四半期、攻撃者は有効な認証情報と標準ツールを駆使し、攻撃の可能性を拡大しました。

LOTL攻撃はウイルスを使った攻撃より成功率が高く、広く蔓延しております。従来の監視対策では検出が難しく、攻撃者は権限の昇格、データの窃取、バックドアの設置といった行動を長期間続ける余地が生まれます。

サイバー犯罪者がこれらの手法を好む理由は以下の通りです。

• WMIやPowerShellなど、頻繁に使われるLOTL攻撃手法は被害側の「許可」リストに登録されており、攻撃者の悪質な行動がSOCや他のセキュリティ対策で見逃されやすくなります。
• LOTL攻撃はファイルや署名を使用しないため、従来の対策でブロックや関連付けが難しく、同じ戦術が再利用されやすくなります。
• 正規のツールを使用し署名がないため、攻撃者の特定が難しく、攻撃サイクルが持続します。
• 攻撃者は長期間潜みながら複雑な攻撃を計画・実行でき、被害に気付いた時には対応する時間がほとんど残されません。

‍

LOTLツール

LOTL攻撃者はコードをアップロードすることなくファイルレスな悪質活動を開始します。では、どのようにして環境にアクセスし、既存のツールを操作するのでしょうか。以下の手法が挙げられます。

1. エクスプロイトキット

これらは、コード、コマンド、またはデータなどの脆弱性を含んでおり、攻撃者がOSやアプリの弱点を突くために利用します。

脆弱性のコードはディスクに記録せず直接メモリに注入できるため、LOTL攻撃のようなファイルレスな攻撃を低コストで実行でき、初期侵入の自動化を可能にします。

ファイルレス型やマルウェア感染は、フィッシングメールやソーシャルエンジニアリングで被害者を誘導するところから始まります。エクスプロイトキットは複数の脆弱性に対応したコードと、攻撃者がシステムを操作する管理コンソールを備え、対象システムを調査した上でカスタムエクスプロイトを作成・展開する場合もあります。

2. ハイジャックした標準ツール

LOTL攻撃では、攻撃者が正規のツールを乗っ取り、特権の昇格、新規システムやネットワークへの侵入、データの窃取や暗号化、マルウェアのインストール、バックドアの設置などの不正行為を行います。代表的な標準または多目的ツールは以下の通りです。

• FTPクライアントやPsExecなどのシステムユーティリティは、複数のコンピューター間でのファイル移動を可能にします。
• Mimikatzのような、パスワード取得に用いられるフォレンジックツール。
• PowerShellはスクリプト実行のためのフレームワークで、Windowsデバイスの管理に幅広い機能を提供します。
• Windows Management Instrumentationは、各種Windows要素の操作を可能にするAPIです。

3. レジストリ常駐型マルウェア

レジストリ常駐型のマルウェアは、Windowsのレジストリ内に潜み、検知を逃れます。

スパイウェアをダウンロードするドロッパーアプリはWindowsシステムに感染します。アンチマルウェアソフトはこの活動を検出可能です。ファイルレスマルウェアはドロッパーパッケージを用いつつ、有害なファイルをダウンロードせず、その代わりにスパイウェアをWindowsレジストリに書き込みます。

悪質なコードは標準ファイル内に隠され、OS起動時に自動で実行されるよう設定可能です。

Poweliksがこのタイプの最初の感染例であり、その後KovterやGootKitが続きました。レジストリキーを変更するマルウェアは長期間にわたり潜伏できます。

4. メモリ内のみで動作するマルウェア

メモリ上に留まるウイルスは、メモリ専用のDuquワームのように気付かれにくいです。Duqu 2.0の初期バージョンは、攻撃者が企業に侵入するためのバックドアであり、その後、偵察、横展開、データ窃取といった高度な機能を悪用されました。Duqu 2.0は通信やセキュリティソフト企業にも侵入しました。

5. ファイルレス型ランサムウェア

攻撃者は単一の手法に頼らず、手に入るあらゆる手段で目的を達成しようとします。今日のランサムウェア攻撃者は、エクスプロイトを用いて悪質なコードを直接メモリに書き込む、またはマクロなどの標準スクリプト言語で文書に埋め込むファイルレスな手法を頻繁に使用しています。ディスクに書き込むことなく、ランサムウェアはPowerShellなどの既存ツールを使って人質データを暗号化します。

6. 盗まれた認証情報

認証情報が漏洩すれば、攻撃者は痕跡を残さずに対象へ侵入できます。一度内部に入ると、WMIやPowerShellなどシステムのツールを利用して攻撃を展開し、不正なコードをレジストリやカーネルに挿入、または各端末で完全な管理権限を持つユーザーアカウントを作成するなどして、検知を回避します。

LOTL攻撃の例

2018年2月、世界中の金融機関が大規模なファイルレス攻撃の標的となったことが明らかになりました。攻撃者は多様な手法を駆使して銀行システムの制御を奪い、Mimikatzを用いてパスワードを盗み、管理機能へアクセスしました。その後、WindowsのSCサービスを利用して、レジストリに保存されたPowerShellスクリプトをMetasploitで生成し実行しました。さらに、被害側とC2はWindows NETSHプログラムを通じて通信しました。多種多様なツールの使用により、複雑な攻撃が長期間見逃される結果となりました。

現行のセキュリティ体制と組み合わせることで、Deep Instinct Prevention Platformはハイブリッド環境においてマルウェアやその他サイバー脅威に対し比類なき守りを提供します。わずか20ミリ秒で有害なファイルを検知し、攻撃が始まる前に阻止します。

既知の脆弱性や端末の認識、対応において、Deep Instinctは他に類を見ません。

‍

このような攻撃の検知と防止

ファイルレス型ランサムウェアやLOTL攻撃は、署名ベースの検知、従来のウイルス対策、ホワイトリスト、サンドボックス、パターン認識などでは発見が困難です。企業はこのような一般的かつ潜在的に破壊力のある攻撃をどのように防止できるでしょうか？

以下は、LOTL、ファイルレスマルウェア、未知のランサムウェアなどの攻撃を防ぎ、検知するためのセキュリティ対策の一例です。

• 攻撃の兆候（IOA）

攻撃指標（IOC）よりもLOTL攻撃のリスクを低減できます。

攻撃の兆候は、攻撃が始まる前に攻撃を検知します。コード実行、横方向の動き、そして攻撃者の目的を隠す行動がこれに該当します。

IOAは発動手段に関係なくファイルレスな侵入を識別します。重要なのは行動そのものと、その連続性および関連する動作であり、これらは攻撃の真意や狙いを示します。

署名ベース、ホワイトリスト、サンドボックスでは、PowerShellなどの正当な言語を用いディスクに書き込まないファイルレス攻撃は識別できません。ディープラーニングもファイルレスランサムウェアの評価が難しいです。IOAは、たとえファイルレスであっても達成すべき連続した動作を追跡します。

IOAは目的、状況、連続性を評価するため、盗まれた認証情報や正規ツールを乗っ取った場合に見られる、不正な操作も捉え、防止することが可能です。

• 脅威の綿密な探索

ファイルレスマルウェアの脅威調査は多大な時間とデータの収集、標準化が必要ですが、これもファイルレス攻撃防御の重要な要素です。そのため、多くの企業は脅威ハンティングを専門家に委託すべきです。

統制された脆弱性管理サービスは、環境を常時監視し、侵入や通常の対策で見逃されがちな微細な動作を検出します。

脅威ハンティングは、多くの企業が大規模な侵入に発展する前に不正な試みを阻止するのに役立っています。専門の脅威ハンターのチームを活用すれば、企業のセキュリティデータを継続的に解析し、最も複雑な攻撃を早期に発見できます。

• アカウントの監視

プロファイルの追跡とガバナンスの仕組みにより、職場環境を総合的に把握し、不正な操作を検知・防止します。これにより、データ損失や認証情報漏洩を防ぐと同時に、資源所有者がデータアクセスを管理し、異常なアクセスを判別できます。

• アプリの管理

不要またはパッチが適用されていないプログラムやOSを事前に検出し、安全にすべてのアプリを管理できます。ITハイジーンによりアプリ管理が効率化され、セキュリティやコストの問題が解消されます。パッチやシステムアップデートの脆弱性も低減され、ソフトウェア構成が最適化されます。即時および過去のアプリ利用状況の確認により、不要なソフトウェアを排除し、ライセンス費用の節約につながります。

• 資産管理

ネットワーク上のコンピューターを把握し、無許可のシステムが稼働していないかを確認することで、サイバーセキュリティ戦略を効果的に実施できます。これにより、管理下にある資産、未管理の資産、制御が困難な資産を特定し、信頼性を向上させます。

Wallarmによるあらゆるサイバー攻撃からの守り

署名ベース、サンドボックス、ホワイトリスト、パターン認識といった保護手法では、ファイルレスな手法を検出するのは非常に困難です。

あらゆるクラウド環境でのウェブアプリ保護において、優れたAPIセキュリティソリューションとWAAP機能を兼ね備えたWallarmのみが、最適な答えです。Wallarmのプラットフォームは、予防と検知の多様な対策を連携させ、クラウドネイティブで次世代の端末セキュリティを提供します。APIを守る準備はできた？今すぐ無料トライアルに登録する。