時給自足型(LOTL)攻撃は、ファイルレスマルウェアまたはLOLbinsサイバー攻撃手法であり、サイバー犯罪者は、ネイティブの正当なツールを被害者のシステム内で使用して、攻撃を維持して進行させます。

自給自足型(LOTL)攻撃はどのように機能しますか?

シグネチャファイルを想定して攻撃計画を実行する従来のマルウェア攻撃とは異なり、LOTL攻撃はファイルレスです。つまり、攻撃者がターゲットシステム内にコードやスクリプトをインストールする必要がありません。代わりに、攻撃者は、PowerShell、Windows Management Instrumentation (WMI)、パスワード保存ツールのMimikatzなど、環境内にすでに存在するツールを使用して攻撃を実行します。

特に組織が既知のマルウェアのスクリプトやファイルを検索する従来のセキュリティツールを利用している場合、ネイティブツールを使用することで、LOTL攻撃の検出がはるかに困難になります。セキュリティツールセットにこのようなギャップがあるため、ハッカーは多くの場合、被害者の環境に数週間、数か月、場合によっては数年間も検出されずに留まることができます。

LOTLツール

自給自足攻撃者が、ファイルレスマルウェア攻撃を開始するためにコードをインストールする必要がない場合、目的に合わせてネイティブツールを変更できるようにするために、どのようにして環境にアクセスするのでしょうか。アクセスは、次のような要素を使用して複数の方法で実行できます。

エクスプロイトキット

エクスプロイトは、コードの断片、コマンドのシーケンスまたはデータのコレクションであり、エクスプロイトキットはエクスプロイトのコレクションです。攻撃者はこれらのツールを使用して、オペレーティングシステムやインストール済みアプリケーションに存在する既知の脆弱性を利用します。

エクスプロイトは、メモリに直接注入でき、ディスクには何も書き込む必要がないため、LOTLなどのファイルレスマルウェア攻撃を効率良く開始できる方法です。攻撃者はこれを使用して、大規模な初期侵害を自動化できます。

ファイルレスの攻撃でも従来のマルウェアを使用する攻撃でも、エクスプロイトは同じように利用されます。通常、被害者はフィッシングEメールやソーシャルエンジニアリングを通じて誘導されます。エクスプロイトキットに含まれる内容は、多くの場合、多数の脆弱性のエクスプロイトと、攻撃者がシステムを制御するために使用できる管理コンソールです。エクスプロイトキットの中には、標的システムの脆弱性をスキャンし、エクスプロイトのカスタマイズ版をその場で作成して起動する機能を備えたものもあります。

ハイジャックされたネイティブツールまたはデュアルユースツール

LOTL攻撃では、攻撃者は通常、正当なツールをハイジャックして、権限を昇格させ、さまざまなシステムやネットワークにアクセスして、データの盗難や暗号化、マルウェアのインストール、バックドアアクセスポイントの設定、またはその他の方法で攻撃を進行させます。次にネイティブツールまたはデュアルユースツールの例を示します。

  • ファイル転送プロトコル(FTP)クライアントまたはシステム機能(PsExecなど)
  • パスワード抽出ツールMimikatzなどのフォレンジックツール
  • PowerShell(Windowsデバイス管理のための幅広い機能を提供するスクリプト起動フレームワーク)
  • WMI(さまざまなWindowsコンポーネントにアクセスするためのインターフェース)

レジストリに常駐するマルウェア

レジストリに常駐するマルウェアは、Windowsレジストリに自分自身をインストールし、検出を回避しながら常駐を続けるマルウェアです。

一般的に、Windowsシステムは、悪意のあるファイルをダウンロードするドロッパープログラムを使用することで感染します。この悪意のあるファイルは標的のシステム上でアクティブな状態を維持するため、アンチウイルスソフトウェアによる検出に対しては脆弱です。ファイルレスマルウェアもドロッパープログラムを使用することがありますが、悪意のあるファイルをダウンロードすることはありません。その代わり、ドロッパープログラム自体が悪意のあるコードをWindowsレジストリに自分自身を直接書き込みます。

悪意のあるコードは、OSを起動するたびに起動するようにプログラムすることができ、検出対象となるような悪意のあるファイルは存在しません。悪意のあるコードは、AV検出の対象にならないネイティブファイルに隠されています。

このタイプの攻撃で最も古いものはPoweliksですが、それ以来KovterやGootKitなど多数が登場しています。レジストリキーを変更するマルウェアは、長期間検出されずに常駐し続けることが多くあります。

メモリオンリーマルウェア

メモリオンリーマルウェアはメモリ内にのみ存在します。メモリオンリーマルウェアには、たとえばDuquワームがあります。これはメモリ内にのみ存在するため、検出されずにいる可能性があります。Duqu 2.0には2種類のバージョンがあります。1つ目は、攻撃者が組織に足掛かりを得られるようにするバックドアです。その後、攻撃者はDuqu 2.0の高度なバージョンを使用できるようになります。このバージョンには、偵察、ラテラルムーブメント、データ流出などの機能が追加されています。Duqu 2.0は、通信業界の企業と著名なセキュリティソフトウェアプロバイダーの少なくとも1社に対する侵害に使用されています。

ファイルレスランサムウェア

攻撃者は、攻撃方法を1種類に限定しているわけではありません。利益を得るために役立つものは、どのようなテクノロジーでも使用します。現在、ランサムウェア攻撃者はファイルレスの手法を使用し、マクロなどのネイティブスクリプト言語で悪意のあるコードをドキュメントに埋め込んだり、エクスプロイトを使用して悪意のあるコードをメモリに直接書き込んだりしています。その後、ランサムウェアはPowerShellなどのネイティブツールをハイジャックし、ディスクに1行も書き込むことなく人質ファイルを暗号化します。

盗んだ認証情報

攻撃者は、盗んだ認証情報を使用してファイルレス攻撃を開始し、正当なユーザーを装って標的にアクセスできるようにする可能性があります。いったん内部に入ると、攻撃者はWMIやPowerShellなどのネイティブツールを使用して攻撃できるようになります。レジストリやカーネル内にコードを隠したり、選択した任意のシステムへのアクセスを許可するユーザーアカウントを作成したりして、持続性を確保します。

自給自足攻撃が広まったのはなぜですか?

最新のグローバル脅威レポートのデータによると、クラウドストライクによる脅威の状況と攻撃者の世界に関する年次分析で、2021年の最終四半期にCrowdStrike Security Cloudによってインデックス付けされた10件中6件(62%)の検出がマルウェアフリーであったことが明らかになりました。代わりに、攻撃者は、正当な認証情報と組み込みツール(自給自足攻撃の特徴)を利用して、攻撃を進行させていました。

自給自足攻撃が一般的になったのは、従来のマルウェア攻撃よりも有効な傾向があるためです。これは、従来のセキュリティツールでは検出がはるかに困難であるため、成功する確率が高くなり、攻撃者が、権限を昇格させ、データを盗み、将来のアクセスに備えてバックドアを設定するための時間が増えるためです。

LOTL攻撃がサイバー犯罪者にとって魅力的なその他の理由

  • WMIやPowerShellなど、一般的なLOTL攻撃に利用される多くのものは、被害者のネットワークの「許可」リストに含まれているため、攻撃者が、悪意のあるアクティビティ(被害者のセキュリティオペレーションセンター(SOC)やその他のセキュリティ対策によって無視されることが多いアクティビティ)を実行する際の完璧な隠れ蓑になります。
  • LOTL攻撃はファイルやシグネチャを使用しないため、攻撃を比較したり関連付けたりすることができません。そのため、将来的に防ぐことがより困難になり、犯罪者が自由に戦術を再利用できるようになります。
  • 正当なツールの使用とシグネチャがないことにより、LOTL攻撃を特定することが困難になり、攻撃サイクルが加速されます。
  • 滞留時間が長いために、攻撃者は複雑で巧妙な攻撃をセットアップして実行することができます。被害者が問題に気づいたときには、効果的に対応する時間がほとんどないことがよくあります。

自給自足型攻撃の防止と検出

ファイルレスランサムウェアとLOTL攻撃は、シグネチャベースの手法、旧式のアンチウイルスシー、ホワイトリスト、サンドボックス化、さらには機械学習ベースの分析を使用して検出するのが非常に困難です。では、組織はこの一般的で壊滅的な被害をもたらす可能性がある攻撃のタイプからどのようにして身を守ることができるのでしょうか。

ここでは、統合的なアプローチとして組み合わせることで、LOTL、ファイルレスマルウェア、未知のランサムウェア、および類似した攻撃手法の防御と検知に役立ついくつかのセキュリティ対策のリストを紹介します。

攻撃の痕跡(IOA)

LOTL攻撃のリスクを軽減する最も効果的な方法の1つは、侵害の痕跡(IOC)だけでなく攻撃の痕跡(IOA)も利用することです。

攻撃の痕跡(IOA)は、攻撃が進行中の可能性のある兆候を探す、よりプロアクティブな検知機能です。IOAには、コード実行、ラテラルムーブメント、侵入者の本来の意図を隠しているように見えるアクションなどの兆候が含まれます。

IOAは、ステップがどのように起動または実行されるかという点には注目しないため、ファイルレス攻撃の検出に有効です。アクションの開始がハードドライブ上のファイルからであるか、ファイルレス手法からであるかは関係ありません。重要なことは、実行されたアクション、それが他のアクションとどのように関連しているか、シーケンス内のアクションの位置、およびその依存アクションのみです。これらのインジケーターにより、動作の背後にある本来の意図と目標、その周囲のイベントが明らかになります。

ファイルレス攻撃はPowerShellのような正当なスクリプト言語を悪用し、ディスク自体に書き込まれないため、シグネチャベースの手法、許可リスト、サンドボックス化では検出されません。機械学習の手法でも、ファイルレスマルウェアの分析はできません。しかし、IOAは連続したイベントを探します。ファイルレスマルウェアであっても、目標を達成するためにはこれらを実行しなければなりません。

また、IOAは意図とコンテキストと順序を精査するため、正当なアカウントを使用して悪意のあるアクティビティを実行する場合も、それを検出してブロックできます。多くの場合、これは攻撃者が認証情報を盗んで使用するか、正当なプログラムをハイジャックする場合に行われます。

詳細

IOAの詳細およびIOCとどのように異なるかについては、関連投稿「読む:IOAとIOC」を参照してください。

マネージド脅威ハンティング

ファイルレスマルウェアの脅威ハンティングは、大量のデータを収集して正規化する必要があり、時間と手間のかかる作業です。しかし、これはファイルレス攻撃に対する防御として必要な部分です。そのため、大多数の組織では、脅威ハンティングを専門のプロバイダに任せることが最も現実的なアプローチとなっています。

マネージド脅威ハンティングサービスは、24時間の監視体制で先を見越して侵入を探し、環境をモニタリングし、標準的なセキュリティ技術では見逃されるほどの目立たないアクティビティを感知します。

脅威ハンティングは、多くの組織が、大規模侵害になる前にステルス攻撃を阻止するために使用している重要な規律です。マネージド脅威ハンティングでは、専門家の脅威ハンターのチームが、企業のセキュリティデータを継続的にふるいにかけ、最も巧妙な攻撃のかすかな兆候を探すという、単純でありながらも重要なタスクを行います。マネージド脅威ハンティングサービスは、あらゆるタイプの組織でこの重大なギャップを埋めるためにカスタマイズされています。

アカウントのモニタリング

アカウントのモニタリングと管理制御により、作業環境を完全に可視化することで、不正なアクティビティを検出して防止できます。これにより、そのようなアクティビティや認証情報の違反によるデータの損失を防ぐことができると同時に、リソース所有者がデータにアクセスできるユーザーを制御し、アクセスが不適切に許可されているかどうかを示すことができるようになります。

アプリケーションインベントリ

これにより、古くてパッチが適用されていないアプリケーションやオペレーティングシステムがプロアクティブに特定されるため、環境内のすべてのアプリケーションを安全に管理できます。ITハイジーンソリューションを使用してアプリケーションインベントリを合理化すると、セキュリティとコストの問題を同時に解決できます。ITハイジーンによって可能になる可視性は、パッチとシステム更新に関連するエクスプロイトを防ぎます。さらにソフトウェアの構成も最適化されます。アプリケーション使用状況のリアルタイムビューおよびヒストリアカルビューにより、削除できる未使用のソフトウェアが特定され、組織の不必要なライセンス料を数千ドル節約できる可能性があります。

アセットインベントリー

アセットインベントリーでは、ネットワーク上で実行されているマシンを表示し、セキュリティアーキテクチャを効果的に展開して、不正なシステムが背後で動作していないことを確認できます。これにより、セキュリティおよびITの運用担当者は、環境内の管理対象資産、管理対象外資産、および管理不可能な資産を区別し、全体的なセキュリティを強化させるための適切な措置を講じることができます。

自給自足型攻撃からの復旧

自給自足型攻撃者は、数週間または数か月にわたって検出を回避する可能性があるため、これらのイベントからの普及は非常に複雑で時間がかかる可能性があります。このような攻撃の被害者かもしれないと疑われる組織は、信頼できるサイバーセキュリティパートナーと協力して侵害調査(CA)の実施を支援し、組織が侵害されているかどうかを判断し、侵害されている場合は攻撃のどの過程にあるかを判断する必要があります。

セキュリティチームは、侵害調査中に、現在および過去のイベントをレビューして、疑わしいレジストリキーや疑わしい出力ファイルなどの過去の攻撃の兆候を特定し、アクティブな脅威を特定します。多くの巧妙な攻撃者は、被害者のネットワークに検知されずに数か月、数年も留まっており、これが起こったかどうかを特定するには、CAの履歴分析が重要です。

侵害調査により、攻撃が発生したか引き続き進行中であることが判明した場合、セキュリティチームは会社と協力して損害を隔離し、影響を受けたシステムの復旧と修復を行い、将来のためにネットワークを強化します。

将来の攻撃を防ぐために、セキュリティパートナーはクライアントの環境の広範囲なレビューを実施し、攻撃者が後日悪用できるアクセスポイントを作成していないことを確認する必要があります。パートナーは、将来のファイルレス攻撃の可能性を防ぐのに役立つ高度なツールやサービスも推奨する可能性があります。

クラウドストライクが組織内のLOTLとファイルレス攻撃を防ぐ方法

これまで見てきたように、シグネチャベースの手法、サンドボックス化、許可リスト、また機械学習による保護方法に依存している場合、検出は非常に困難です。

検出の難しいファイルレス攻撃を予防するために、クラウドストライクでは、複数の方法を独自に組み合わせた強力な統合アプローチを提供し、比類のないエンドポイント保護を行っています。CrowdStrike Falcon®プラットフォームは、単一の軽量エージェントを介してクラウドネイティブな次世代エンドポイント保護を行い、一連の補完的な予防および検出方法を提供します。

  • アプリケーションインベントリは、環境内で実行されているアプリケーションを検出し、エクスプロイトキットの標的にならないようにパッチの適用または更新を行う必要がある潜在的な脆弱性を特定します。
  • エクスプロイトブロックは、パッチ未適用の脆弱性を悪用するエクスプロイトを使用して実行されるファイルレス攻撃を阻止します。
  • 攻撃の痕跡(IOA)は、攻撃の早い段階、つまり完全に実行されて損害が生じる前に、悪意のあるアクティビティを特定してブロックします。この機能は、被害システムの暗号化にファイルを使用しないような新しいカテゴリのランサムウェアからも保護します。
  • スクリプト制御は、拡張された可視性とファイルレススクリプトベースの攻撃に対する保護を提供します。
  • Advanced Memory Scanningは、APT、ランサムウェア、メモリ内のCobalt Strikeといったデュアルユースツールなどのファイルレス攻撃やマルウェアフリー攻撃から保護します。
  • マネージド脅威ハンティングは、ファイルレス手法の結果として生成された悪意のあるアクティビティを24時間プロアクティブに検索します。

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。