サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカー、「Living Off the Land」戦術でEDRを回避しWindowsシステムを標的に

カテゴリ:

巧妙化するサイバー攻撃の手口

セキュリティ研究者たちは、現代の攻撃者が従来の攻撃ツールを捨て、正当なWindowsユーティリティを悪用して、セキュリティアラームを鳴らさずにサイバー攻撃を実行していることを発見しました。この戦術は「

Living Off the Land(LotL)

」として知られており、システム保護を試みる組織にとって大きな課題となっています。

「Living Off the Land」とは何か?

Living Off the Landとは、悪意のある活動を行うために、Windowsにプリインストールされているネイティブツールやプログラムのみを使用するアプローチを指します。攻撃者は、MimikatzやCobalt Strikeのようなカスタムハッキングツールをアップロードする代わりに、PowerShell、Windows Management Instrumentation(WMI)、certutil.exeなど、管理者が日常的に使用するMicrosoft署名済みの正当な実行ファイルを利用します。このアプローチは非常に効果的です。なぜなら、これらのツールはシステムにすでに存在し、Microsoftが信頼しており、ほとんどのセキュリティ制御がそれらの実行を明示的に許可しているからです。防御側は、これらのツールをブロックして正当な業務を停止させるか、それらの実行を許可してセキュリティリスクを受け入れるかという、困難な選択を迫られます。

なぜ従来のEDRでは検知が難しいのか

エンドポイント検出応答(EDR)システムは、悪意のあるファイルや既知のハッキングツールを検出するように設計されています。これらはファイル署名をスキャンし、不審なプロセス実行を監視し、異常なシステム動作を分析します。しかし、これらのシステムは、管理者が日常的なメンテナンスのためにPowerShellを正当に使用している場合と、ハッカーが同じツールを使用して資格情報を盗んだりネットワーク内を移動したりしている場合とを区別するのに苦労します。「組み込みツールのみを使用する場合、検出すべき不審なものはありません。なぜなら、本来そこにあるべきツールを使用しているからです」とセキュリティ研究で共有されたレッドチームのエンゲージメントは述べています。攻撃者に有利な根本的な非対称性は、この課題にあります。防御側は、同じ署名と有効なMicrosoft認証を持つ同一のコマンドの正当な使用と悪意のある使用を区別しなければなりません。

攻撃者が悪用するWindowsネイティブツール

セキュリティ研究者Ivan Spiridonov氏は、攻撃者がWindowsネイティブユーティリティを悪用する多数の方法を文書化しています。

  • PowerShell: 偵察、資格情報のダンプ、ネットワークを越えたラテラルムーブメントに使用されます。信頼されたMicrosoftツールであるため、攻撃は通常のIT運用に紛れ込みます。
  • WMI (Windows Management Instrumentation): ファイルをアップロードしたり不審なプロトコルを使用したりすることなく、他のシステムでリモートコマンド実行を可能にします。
  • Certutil.exe: 正当な証明書ユーティリティであり、ファイルダウンロード機能を持っています。攻撃者はこれを悪用して悪意のあるペイロードをダウンロードしたり、盗んだデータを外部に持ち出したりします。
  • スケジュールされたタスク: 正当に見えるメンテナンスジョブを作成し、指定された時間に攻撃者のコードを実行することで、永続的なアクセスを確立します。
  • レジストリ操作: Windowsネイティブツールを介したレジストリ操作により、攻撃者はカスタムマルウェアを展開することなく、永続性を確立し、システム構成を変更できます。

組織が取るべき対策

組織は、これらの攻撃を検出するための圧力に直面しています。ファイルベースの脅威に焦点を当てた従来の

エンドポイント保護では不十分

です。セキュリティチームは、PowerShellスクリプトがインターネットからコンテンツをダウンロードしたり、WMIが異常な時間にリモートプロセスを作成したり、過度な資格情報ダンプの試行など、不審なパターンを特定するために、高度なロギングと行動分析を実装する必要があります。正当な管理活動を監視する際には誤検知が多いため、複雑さは増します。悪意のある行動と通常のIT運用を区別するには、多くの組織が欠いている高度な分析能力が必要です。

セキュリティ専門家は、組織が検出能力を強化するために、以下の対策を推奨しています。

  • PowerShellスクリプトブロックロギングの有効化
  • コマンドラインプロセス監査の実装
  • WMI活動の厳密な監視
  • Sysmonなどの高度な監視ツールの展開
  • シンプルなファイルブロックを超えたアプリケーションホワイトリストポリシーの適用
  • 機密性の高い操作に対する多要素認証の要求
  • ラテラルムーブメントを制限するためのネットワークセグメンテーションの実装
  • 資格情報保護に焦点を当てた定期的なセキュリティ意識向上トレーニングの実施

今後の展望:行動分析と脅威ハンティング

攻撃者が戦術を進化させ、正当なWindowsツールを悪用し続けるにつれて、セキュリティ業界は脅威検出における新たな課題に直面しています。サイバーセキュリティの未来は、

署名ベースの検出から、包括的な行動分析と脅威ハンティング戦略への移行にかかっている

と言えるでしょう。

元記事: https://gbhackers.com/hackers-shift-to-living-off-the-land-tactics-to-evade-edr/

投稿をさらに読み込む