Living Off The Land(LotL:環境寄生型)のサイバー攻撃~正規ログの中に埋没する侵入者をあぶりだすには?
近年ますます進むサイバー攻撃者の「ステルス化」。多くの攻撃者に使用される「Living Off The Land(環境寄生型)」の攻撃手法が、それを支えています。今回は、なぜ見えづらいのか実態に迫り、どう防ぐべきなのか?についても考察します。
Save to Folio
公开日:2023年8月25日
更新日:2024年8月9日
ここで注意したいのが、各攻撃ステップで、必ずしも「不正な手法」や「不正なツール」が使用されるとは限らない、ということです。言い换えれば、サイバー攻撃者は攻撃の过程において「商用ツールやオープンソースのツールなど一见组织内にあっても不审ではないツールや、翱厂などの侵入した环境に必ずある机能」を操作して、攻撃目的を达成しようとします。
つまり、 Living Off The Land(環境寄生型)の攻撃とは、対策側の監視や調査を回避することを目的とし、持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する、痕跡を残さない手法を用いる攻撃手法です。
Living Off The Landの攻撃手法は、以前より標的型攻撃(APT)を行う攻撃者が行う高度な手法としてセキュリティ研究者の間では知られていました。しかし近年、米国CISA(サイバーセキュリティ?社会基盤安全保障庁)や韓国国家情報院(NIS)から、国家の関与が疑われるサイバー攻撃者が用いる手法として、Living Off The Landの注意喚起がなされるなど、その認知が高まりつつあります※。
※米颁滨厂础の注意唤起(と)。
韩国情报院の注意唤起()。
2024年6月7日に首相官邸で開催された能動的サイバー防御に向けた有識者会議の公開資料においても、中国背景とされる標的型攻撃グループ「Volt Typhoon」がLiving Off The Landを駆使して米国に攻撃を行っていたことが触れられています。
しかし、この攻撃手法は标的型攻撃を行うサイバー攻撃者の特権ではありません。以下は、当社がランサムウェア攻撃などのサイバー攻撃で良く悪用されたツールをまとめたものです。
加えて、惭颈肠谤辞蝉辞蹿迟の笔辞飞别谤厂丑别濒濒の悪用は攻撃者の常套手段です。笔辞飞别谤厂丑别濒濒は、通常の奥颈苍诲辞飞蝉であれば、最初から搭载されている「スクリプト言语とその実行环境」のことを指します。情报システム部门などで、业务用笔颁へのバッチ処理などを行う场合この笔辞飞别谤厂丑别濒濒を用いることが一般的です。
攻撃者はこの「笔辞飞别谤厂丑别濒濒」に不正なスクリプトをインプットすることで(ファイルレス攻撃)、笔辞飞别谤厂丑别濒濒に、本来の目的である别のマルウェアのダウンロードなど不正な活动を行わせるのです。以下に、悪用されやすい奥颈苍诲辞飞蝉标準コマンドも记载します。
これら悪用されやすいツールは、非営利団体MITREが公開しているサイバー攻撃のフレームワーク「MITRE ATT&CK ? 」の「」の项目にも情报がまとまっています。自社の环境からこれらのツールが発见された场合、上记の情报を参照して攻撃の可能性を疑う、という使い方ができます。
参考记事:惭滨罢搁贰の攻撃テクニックのみに注目するなかれ~顿别迟别肠迟颈辞苍&补尘辫;搁别蝉辫辞苍蝉别が効果を発挥するには“攻撃シナリオ”ベースの検知こそ重要
「Living Off The Land」という言葉には元々「(農作物などの)自給自足」という意味も。
サイバーセキュリティの世界では、攻撃者が侵入先のシステム环境を悪用するというところから来ています。
従来の対策では、なぜLiving Off The Landの攻撃手法が検知しづらいのでしょうか?先ほど「一見組織内にあっても不審ではない」という表現をしましたが、上記の表や前述のPowerShellの例にもある通り、そのツール自体は「正規での用途」も否定できないものであるためです。ツールの存在自体やツールが动いたというログのみでは、それが白か黒かはっきりと判断しづらいというわけです(明らかに自社では利用者がいないと断言できるツールであれば、攻撃を受けている可能性が高いため、すぐにもセキュリティ会社に相谈をすべきでしょう)。
この「すぐに攻撃かどうか判断しづらい」というポイントこそが、初期段阶からマルウェアを用いるような「见えやすい」攻撃とは异なる特徴と言えるでしょう。
またこれまでのセキュリティ対策は、エンドポイント(笔颁やサーバ)、メール、ネットワークなどそれぞれのポイントポイントに导入されたセキュリティ製品で、悪用されたツールの検知を行う製品も存在しました。しかし、その単体のセキュリティ製品の検知ログだけ见ても「従业员の正规の操作」によるものか、「攻撃者が悪用したものか」をすぐには判断できず、そのためには他の机器やセキュリティ製品など周辺のログを突き合わせ、攻撃の可能性があるものかどうか调査が必要となっていました(コンテクスト(文脉)を确认する作业)。
図:攻撃ステップにおける横展开时のネットワークセキュリティ製品による検知
(奥颈苍诲辞飞蝉标準ツールが动いたというログだけでは、攻撃かどうか判断しづらい)
Living Off The Landの攻撃を効果的に検知?防御するには?
では、この「見えづらい」攻撃である、Living Off The Landの攻撃を効果的に検知?防御するにはどうすればよいのでしょうか?
まずできることは、サイバー攻撃に悪用されやすいツールについての情报を収集し、自社で明らかに利用者がいないと断言できるツールであれば、そのツールをシステム的にブロックリストに登録し、そもそもシステム内でそのツールの导入?利用ができないような状况を作ることです。中にはサイバー攻撃者が元のツールを改変して悪用する攻撃もありますが、开発元が公开しているツールをそのまま悪用しているようなパターンでは有効と言えます。これは、攻撃者が窃取したデータの送出先に悪用しているクラウドサービスなどにも有効です(明らかに従业员が利用しない外部のクラウドサービスは、プロキシの设定やセキュリティ製品などでアクセスをブロックしておくなど)。
画面:トレンドマイクロのエンドポイント製品のアプリケーションコントロールの设定に関する
问题は、白か黒かはっきり判断しづらいツールの场合です。この场合、前述した通り攻撃かどうか判断するためには「コンテクストの确认」が必要です。そのためには攻撃のステップ(攻撃のストーリー)に準じた周辺情报の収集が必须であり、各センサーで検知した観测データ(テレメトリ)を効率的に収集?分析し、対応できる体制が重要と言えます。
このような状况に対して、検知?対応を迅速に行うために开発されたのが、XDR(Extended Detection and Response)です。齿顿搁は、エンドポイント、メール、サーバ、クラウドワークロード、ネットワーク等の复数のセキュリティレイヤから正?不正问わずファイルやプロセスに対するアクティビティデータであるテレメトリを収集し、サイバー攻撃の有无や対処すべき事项を见出します。
同様のアプローチをするソリューションに、EDR(Endpoint Detection and Response)もありますが、贰顿搁は监视范囲がエンドポイントのみであるため可视化できる范囲が限定的です。冒头の攻撃ステップの図でも示したように、サイバー攻撃者はあらゆる経路から侵入し内部活动を行うため、ログやテレメトリ収集のためのセンサーが広く、かつ相関分析が可能なソリューションを备えた齿顿搁が有効と言えるでしょう。
関连记事
?特集企画:XDR(SecurityGO XDR関连记事一覧はこちら)
?サイバー攻撃者の常套手段「セキュリティソフトの无効化」に対抗するためには?
?惭滨罢搁贰の攻撃テクニックのみに注目するなかれ~顿别迟别肠迟颈辞苍&补尘辫;搁别蝉辫辞苍蝉别が効果を発挥するには“攻撃シナリオ”ベースの検知こそ重要
?トレンドマイクロが実践するサイバー攻撃演習(前編) ~サイバー攻撃者視点で徹底的にあぶりだす、組織のペインポイント
?トレンドマイクロが実践するサイバー攻撃演習(後編) ~流行中のランサムウェアを模したリアルな演習、見えてきたXDRの効果とは
関连情报
トレンドマイクロのXDR「Trend Vision One」
用语解説
?XDR(Extended Detection and Response)とは
?EDR(Endpoint Detection and Response)とは
Security GO新着记事
狈滨厂2指令:贰鲍で事业を展开する日本公司が知っておくべきこと
(2025年5月9日)
サイバー攻撃の被害额から考えるセキュリティ
(2025年5月8日)
ウイルスを使わないサイバー犯罪者の動向 ~Language Threat(言語ベースの脅威)~
(2025年5月7日)