LOTL(Living Off The Land、環境寄生型)攻撃とは?
概要や仕組みと特徴、対策について分かりやすく解説
LOTL攻撃とは、攻撃者がターゲットのシステム内に存在する正当なツールやソフトウェアを悪用して攻撃を行う手法です。この記事では、LOTLの特徴などについて分かりやすく解説します。
目次
LOTL攻撃の特徴
LOTL(Living Off The Land、環境寄生型)攻撃の特徴は、攻撃者がターゲットシステムの既存のリソースやツールを悪用することにあります。以下にその特徴を挙げます。
既存のツールを利用する:攻撃者は、新たにマルウェアをインストールすることなく、標的のシステムに既にインストールされているツールやスクリプトを利用して攻撃を行います。具体的には、PowerShell、Windows Management Instrumentation(WMI)、PsExec、Netcatなどが悪用されます。
ネットワークの正常な操作を悪用:ネットワーク上の標準的な通信プロトコルや管理ツールを使用して攻撃を隠蔽します。これにより、通常のネットワークアクティビティに紛れて活動が行われるため、検出が難しくなります。
持続性と隠蔽性、検出回避:新たなマルウェアや悪意のあるコードをインストールせずに行われるため、従来のアンチウイルスソフトウェアやIDS(侵入検知システム)では異常を検出しにくく、攻撃者はシステムに長期間潜伏し続けることができます。
最小権限の利用:攻撃者はターゲットシステムに付与されている最小権限で活動を行い、目立たずにシステム内での操作を実行します。
サイバー攻撃のカスタマイズ性の高さ:LOTL攻撃は多様な手法を取ることができ、攻撃者がさまざまなツールや技術を駆使して攻撃の形態を変化させるため、攻撃を検出して防げたとしても、その後に新たな方法で攻撃を続ける可能性があります。
最小限の痕跡:既存ツールを使うことで、攻撃者はシステムやログに目立った痕跡を残しません。これにより、攻撃後の調査が非常に難しくなります。
LOTL攻撃の侵入経路
LOTL攻撃では、従来の手法で見られるような外部からのマルウェアのインストールをせず、既存のソフトウェアやツールを利用するため、侵入の手段は以下のように多岐にわたります。
フィッシング攻撃:メールの添付ファイルやリンクを通じて、攻撃者が標的に侵入します。メールの添付ファイルには、マクロやスクリプトが仕込まれている場合があり、これらが実行されることによって、LOTL攻撃が開始されます。
リモートデスクトッププロトコル(RDP)の悪用:攻撃者は、リモートデスクトップや他のリモート管理ツールを使用して、標的システムに侵入することがあります。RDPや他のリモート管理ツールが適切にセキュリティ設定されていない場合、攻撃者はこの方法でシステムに侵入し、正当な管理者ツールを悪用することができます。
脆弱性の悪用:システムに存在する未修正の脆弱性を悪用して侵入します。これにより、攻撃者は悪意のあるコードを実行することなく、システムにアクセスすることが可能になります。
内部の特権アカウントの悪用:内部の従業員や管理者アカウントが乗っ取られたり、悪用されることがあります。攻撃者が管理者権限を持つアカウントを使用して、内部ツールを操作しシステムを悪用します。フィッシングやパスワードスプレー攻撃を使って、内部の特権アカウントが突破された場合、攻撃者は管理ツールやコマンドを使ってその後の攻撃を進めることができます。
不正なリモートシェルの導入:攻撃者がシステムにアクセスした後、リモートシェル(NetcatやMeterpreterなど)を導入し、正当なツールを通じて攻撃を続行します。これにより、外部からのアクセスがあっても、通常のネットワークトラフィックとして隠蔽されることがあります。
外部サービスの悪用:クラウドサービスや外部アプリケーション(例:VPN接続、バックアップサービス、SaaSツール)を悪用して侵入することもあります。これらのサービスに正当なツールやAPIを使ってアクセスし、攻撃を隠蔽する手法です。
事前調査:攻撃者はターゲットのシステム環境を事前に調査し、どのようなツールやスクリプトが使用されているかを特定します。これにより、攻撃は正当なリソースを利用するため、ネットワーク管理者やセキュリティツールを回避しやすくなります。
LOTL攻撃への対策
LOTL(Living Off The Land)攻撃に対する対策は、攻撃者がターゲットシステムの正当なツールやリソースを利用して攻撃を行うことに対処するために、システムの監視と管理を強化することが重要です。以下に具体的な対策方法を挙げます。
最小権限の原則の徹底:ユーザーやプロセスには必要最低限の権限のみを与えるようにします。管理者権限(特権)を持つユーザーやツールに対しても、必要な場合にのみ特権が使用できるように制限します。これにより、攻撃者が特権を悪用してシステムに侵入した場合でも、できることが制限されます。
異常なツールやスクリプトの実行を監視:PowerShellやWMI など、攻撃者が利用しやすいツールに対する監視を強化し、特定のツールやコマンドの利用を制限する設定を施すことが含まれます。これらのツールの使用を監視するために、SIEMなどを活用してログ分析を行います。予期しないまたは異常なコマンドがシステム上で実行される場合は、アラートを発生させます。
実行可能なアプリケーションの設定:正当なソフトウェアのみを実行できるようにするアプリケーションをホワイトリスト形式で設定します。これにより、攻撃者が既存ツールを利用しても、ホワイトリストに載っていないツールは実行できません。ホワイトリストによる実行制限は、ネットワーク上のソフトウェアやツールをあらかじめ管理し、不正ツールの実行を防ぐ効果的な方法となります。
システムログと監査の強化:ログの監視を強化し、システム内で実行されるすべてのコマンドやツールの監査を行います。監査ログにアクセスしているプロセス、コマンドの発行元、実行されたツールやスクリプトを追跡します。不正な動作が検出された場合に即時対応できる体制を整え、インシデント対応を迅速に行えるようにします。
異常なネットワーク通信の監視:ネットワーク上で予期しない通信や異常なプロトコル(例えば、非標準のポートを使用した通信)を監視します。これにより、攻撃者が既存のネットワーク通信ツールやプロトコルを悪用してデータを送信するのを防げます。異常なアクセス元や未知のIPアドレスからのアクセスも監視し、疑わしい活動を特定します。
ソフトウェアとツールのアップデート:既存のシステムやツールの脆弱性を悪用されることを防ぐため、定期的にソフトウェアやツールを最新のバージョンに更新します。セキュリティパッチを適用し、既知の脆弱性を修正することは基本的なセキュリティ対策です。
マルウェア検出ツールと挙動分析:既存のマルウェア検出ツールを強化し、従来のシグネチャベースの検出に加えて、 挙動ベースの検出を導入します。LOTL攻撃は新しいマルウェアを使用しないため、挙動ベースの検出が有効です。エンドポイントの挙動を監視するEDRツールを導入し、システムで発生する疑わしい振る舞いや不審なプロセスを検出します。
定期的なセキュリティトレーニング:ユーザーや管理者に対してセキュリティ教育を行い、特にフィッシング攻撃や悪意のあるスクリプトの実行を防ぐための注意喚起を行います。システム管理者には、LOTL攻撃を理解し、適切に対応できる知識を持たせることが大切です。
セキュリティポリシーの見直しと強化:定期的にセキュリティポリシーを見直し、組織内でのツールやシステム使用に関するルールを更新します。特にシステム管理者や特権ユーザーが実行できるコマンドやツールの制限を強化し、不正利用のリスクを低減させます。
LOTL攻撃はその特性上、ネットワークやシステムにとって正当な操作として認識されるため、従来の検出方法では追跡が難しくなります。攻撃の検出や侵入経路の特定のためには、徹底的なログの監視、ツールの使用に対する監視強化、アクセス制御の厳格化などが求められます。
