サイバー攻撃者は、検知を回避し、悪意のある目的を達成するために絶えず戦術を改善しており、組織にとって、より優れた検知および対応戦略を開発することが重要になっています。Living Off The Land(LOTL) テクニックは、サイバー攻撃者が検知を回避するために使用するステルス攻撃ベクトルの一例です。
これは、敵対者が長期間にわたって疑いを持たれることなく標的のシステムを攻撃することを可能にする侵入テクニックです。
LOTL攻撃は、カスタマイズされたプログラムを必要とする従来のマルウェア攻撃とは異なり、脅威行為者が被害者のエンドポイント上の既存のツールを使用するため、しばしばファイルレス攻撃と呼ばれます。その代わりに、エンドポイントに既に存在するバイナリ、スクリプト、ライブラリ、ドライバなどのツールを使用します。
このような攻撃は、独自の認識可能なシグネチャが存在せず、典型的なシステム・ユーティリティとしてカモフラージュできるため、より困難になってきています。
脅威行為者が LOTL テクニックを活用する理由
脅威行為者が LOTL テクニックを活用する理由は次のとおりです:
- LOTL 攻撃にはファイルやシグネチャが存在しないため、検出が困難であり、その結果、将来的な防御の難易度が高まり、攻撃者が戦術を再利用できるようになる。
- 攻撃者は、さまざまな環境で LOTL テクニックを効果的に利用するため、専用の攻撃ツールを作成して展開する必要がありません。
- 脅威行為者は、LOTL 攻撃に組み込まれたシステム・ツールを活用して、通常のネットワークやシステム・アクティビティに紛れ込ませるため、セキュリティ・アナリストが正当な行動と悪意のある行動を区別することが難しくなります。
LOTL テクニックの背後にある論理的根拠を理解することは、ますます一般化するサイバー脅威に対して適切なサイバー防御戦略を実施する上で重要です。
LOTL 攻撃の仕組み
LOTL 攻撃の一般的な動作は次のとおりです:
- 初期アクセスの獲得:攻撃者は、総当たり攻撃、脆弱性の悪用、またはソーシャル・エンジニアリングによって最初のアクセスを獲得します。たとえば、攻撃者は被害者を騙して侵害された Web サイトにアクセスさせ、そこでブラウザの脆弱性を悪用します。
- 正規のシステムツールを悪用する:攻撃者は、悪意のある目的のために、正規のシステムツールや誤ったシステム設定を悪用します。一般的なツールには、コマンドラインユーティリティ(cron、wget、curl、WMIC、net.exe、PowerShell)、スクリプト言語(Bash、JavaScript)、管理ツール(SSH、PsExec)などがあります。
- ファイルレスマルウェアの実行攻撃者は、ファイルレスで悪意のあるコードを実行し、ディスク上に新しいファイルを作成することなく、メモリ内のシステム・プログラムを変更します。また、ブラウザベースの脆弱性を悪用して、悪意のあるプロセスを実行することもあります。
- 特権の昇格:攻撃者は、侵害されたネットワーク内で目立たないように悪意のある活動を行い、リモートアクセス、横移動、特権の昇格、機密データの流出を行います。例えば、正規の管理ツールや誤ったシステム設定を悪用し、特権を昇格させます。
- 永続性:攻撃者は、スケジュールされたタスクを作成したり、レジストリキーを変更したり、将来の攻撃のために正規の自動起動メカニズムを利用したりすることで、永続性を維持します。
WazuhでLOTL攻撃に対するサイバー防御を強化する
組織は、IT環境内のシステムユーティリティの異常な動作や疑わしい使用を検出するための包括的なサイバーセキュリティ監視機能を必要としています。
XDR(Extended Detection and Response)やSIEM(Security Information and Event Management)などのセキュリティソリューションを活用することで、サイバー防御と対応を強化することができます。
Wazuhは無償のオープンソースセキュリティプラットフォームであり、クラウドとオンプレミス環境のワークロード間で統合されたXDRとSIEMの機能を提供します。
Wazuhは、ログデータ分析、ファイル整合性監視、脅威検知、リアルタイムアラート、自動インシデントレスポンスを実行し、LOTL攻撃を検知して対応します。
初期アクセス試行の検出
攻撃者による初期アクセスの試みを特定するための効果的な検知戦略には、脆弱性の悪用やブルートフォースによるログインの試みに対する継続的な監視が含まれます。このような戦略では、異常なアクティビティに対してリアルタイムでアラートを生成し、ユーザーアカウントの変更を検出し、疑わしいパターンについてネットワーク接続を分析します。
Wazuhは、ログデータ収集機能を使用して、監視対象のエンドポイント、アプリケーション、ネットワークデバイスからログを収集し、リアルタイムで分析します。Wazuhサーバーは、カスタマイズ可能なデコーダーとルールを使用して、収集したログから関連情報を抽出し、適切なフィールドにマッピングします。また、この情報を処理し、/var/ossec/logs/alerts/ディレクトリ内にアラートとして記録する。
WazuhによるXZ Utils脆弱性の探索の検出に関するブログ投稿は、ユーザーが監視対象エンドポイント内でCVE-2024-3094脆弱性の潜在的な悪用を特定する方法を示している。疑わしい sshd の子孫プロセスに関するログを識別し、処理のために Wazuh サーバーに転送するように Wazuh エージェントを設定できます。
組織は、リアルタイムのログデータ収集と分析機能を備えたWazuhのようなセキュリティソリューションを活用することで、IT環境における不審な活動を検出し、対処することができます。
システムツールの不正使用の検出
PowerShell、Crontab、Schtasks、SSHなどの正当なツールの不正使用を監視することで、組織は通常のシステムアクティビティからの逸脱を検出し、悪意のあるアクションに対応することができます。このような悪意のある行為を早期に検知することで、攻撃者がこれらのツールを悪用して横の動きを行ったり、その他の不正な行為を行ったりすることを防ぎます。
Wazuhは、ネイティブのシステムユーティリティを悪用して攻撃者の悪意のある目的を達成するマルウェアのインスタンスを検出し、管理者に警告するためのルールセットをすぐに利用できます。さらに、他の特定の活動を検出するカスタムルールやデコーダを追加することもできます。
例えば、nltest、bcedit、vssadmin、attrib、またはschtasksのような一般的に悪用されるWindowsユーティリティを監視するためにWazuhを使用することができます。WazuhエージェントはWindowsイベントチャネルからログを収集し、分析のためにWazuhサーバーに転送します。
これらのログは、ネイティブユーティリティが実行されたことを検知するために、プロセス作成イベント用にフィルタリングされる。
MITRE ATT&CK テクニック T1053.005 に関連する LOTL 攻撃は、悪意のあるタスクをスケジュールするために特定のコマンドを実行することで、タスクスケジューラ(schtasks)ユーティリティを悪用します:
> schtasks /create /tn test-task /tr "C:˶WindowsSystem32˵calc.exe" /sc onlogon /ru System /f > schtasks.exe /CREATE /XML C:˶WindowsTEMPredacted.xml /TN タスク /F > schtasks.exe /CREATE /XML C:■WindowsTEMP↩redredacted.xml /TN タスク /F > SCHTASKS /Delete /TN * /F
以下のカスタムルールを作成することで、Wazuhは上記のアクティビティをリアルタイムで検出し、それに応じてアラートをトリガーする。
不正な設定変更の検出
攻撃者は永続性を維持したり、その存在を隠したりするために、システム構成設定を操作したり変更したりすることがよくあります。この段階の LOTL 攻撃を防御するために、組織は定期的にエンドポイントスキャンを実施し、セキュリティのベストプラクティスや標準に準拠していない誤った設定を特定する必要がある。
このセキュリティ対策は、不正な変更を迅速に検出し、LOTL攻撃が重大な被害をもたらす前に対処するために不可欠です。
Wazuhは、セキュリティ構成アセスメント(SCA)機能を使用してシステム構成設定を評価し、監視対象エンドポイント上の設定ミスや脆弱性を特定します。
また、Wazuh File Integrity Monitoring (FIM)機能を使って、重要な設定ファイルやディレクトリが不正に変更されていないか、意図しない変更が加えられていないかを監視することもできます。
例えば、Wazuh SCA機能を使ってシステム監査を行い、LOTL技術を活用したLinuxエンドポイント上のキーロガーを検出することができます。これは、Wazuhサーバー上でカスタムSCAポリシーを設定し、監視対象のすべてのLinuxエンドポイントで定期的なスキャンを開始することで実現できます。
SCAポリシーは、敵対者がターミナルセッション(TTY)で被害者のキーボード操作を記録するために正当なプログラムを操作した可能性のあるインスタンスを識別するための構成設定をチェックします。
以下の画像は、WazuhがLinuxエンドポイント上のPAMのような信頼されたプロセスを悪用して、被害者のキーストロークと認証情報をキャプチャするインスタンスを検出していることを示しています。攻撃の背後にある根拠と、検出された場合にユーザがどのように修正できるかを強調しています。
異常なリソース使用の検出
組織は、エンドポイントの異常なリソース使用パターンを監視することで、LOTL攻撃に対する防御を強化することができます。過剰な CPU 使用率、メモリ使用率、ネットワークアクティビティなどの異常なリソース消費は、多くの場合、LOTL 手法に関連する悪意のある活動を示しています。
コマンドラインの実行やパフォーマンスメトリクスを追跡することで、組織は侵害の微妙な指標を検出することができます。
Wazuhは、監視対象のエンドポイントで実行されたコマンドを追跡するコマンド監視機能を提供します。この機能により、ユーザーはWazuhを設定して、実行された特定のコマンドの出力に関する詳細をキャプチャしてログに記録し、システムプロセスによる異常なリソースの使用を可視化することができます。
Wazuhエージェントは、設定された頻度に基づいて、設定されたエンドポイントで定期的にこれらのコマンドを実行し、その実行を監視し、分析のためにWazuhサーバに出力を転送します。
macOSリソースの使用状況の監視に関するブログ記事では、Wazuhエージェントがコマンド監視機能を使用してシステム情報を収集する方法を示しています。この情報には、エンドポイントのCPU使用率、CPU負荷、メモリ使用率、ディスク使用率、その他のパフォーマンス・メトリクスが含まれます。
このデータは、システムリソースの使用状況に関する洞察を提供し、ユーザが進行中のLOTL攻撃を検出することを可能にします。
既知の脆弱性の検出
定期的な脆弱性スキャンにより、組織はセキュリティ上の弱点を特定し、パッチを適用することができます。攻撃者はしばしば既知の脆弱性を悪用して長期的なプレゼンスを確立し、検出を回避するため、これは重要です。
Wazuhは、その脆弱性検出機能を活用して、敵対者が永続性を確立するために悪用する可能性のある既知の脆弱性に対する包括的な可視性を提供します。これは、インストールされたソフトウェアのバージョンを、さまざまなデータベースから入手した既知の脆弱性と比較することによって行われます。
これらのデータベースには、National Vulnerability Database (NVD)、Canonical、Red Hat、Debian、Arch Linuxなどが含まれます。
結論
Living Off The Land (LOTL)攻撃は、ステルス性の高いサイバー攻撃であり、脅威者は目的を達成するために外部のマルウェアではなく、組み込みのシステムツールを活用する。
組織は、このような攻撃を検出して対応する可能性を高めるために、多様な検出機能を備えた多層的なアプローチを採用する必要があります。
Wazuhは、LOTL攻撃を検出する可能性を高め、潜在的な影響を軽減するためのさまざまな検出メカニズムを提供します。また、ユースケースに合わせてサードパーティのソリューションを統合し、お客様の環境の特殊性を満たすことができます。
Wazuhのドキュメントをチェックし、専門家のコミュニティに参加することで、Wazuhの詳細を学ぶことができます。
Wazuhがスポンサーとなり、執筆しました。
Comments