テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

Living off the Land (環境に寄生する)手法:ハッカー達はあなたの環境にどうやって紛れ込むのか

Oakley Cox, Director of Analysis

サイバー犯罪者達はそれぞれの襲撃ごとに専用のマルウェアを記述する必要はありません。その組織のインフラを攻撃に利用したほうが安上がりであり、簡単であり、より効果的なことが多いのです。 ‘Living off the Land’ (環境に寄生する)と呼ばれているこの手法では、脅威アクター達は標的とした組織のデジタル環境内に既にあるツールを使用してサイバーキルチェーンを進めていきます。

こうした不正な目的のために最もよく悪用されるツールとしては、Powershell、Windows Management Interface (WMI)、PsExecがあります。これらのツールはネットワーク管理者の日々のルーチン作業の一部として頻繁に使用されており、静的なルールやシグネチャに依存する従来のセキュリティツールは、多くの場合正当な使用と悪意ある使用を区別するのに苦労します。

Living off the Land という言葉が最初に使われたのは2013年でしたが、こうしたツール、テクニック、および手順(TTP)は近年ブームとなっています。その理由の一つは、防御セキュリティのこれまでのアプローチ(例:以前の攻撃で遭遇したファイルハッシュ、ドメイン、およびその他の脅威の痕跡のブラックリスト化)がこれらの攻撃の識別に不十分であるからです。こうして、これらのステルス性の、しばしばファイルレスな攻撃はメインストリームに進出してきました

そして困ったことに、Living off the Land攻撃は高度に組織化された、標的を絞ったハッキングに特に実績があるのです。APTグループは長いことLiving off the LandのTTPを好んできました。検知を免れるのが最優先であるためです。そして現在の傾向として、多くのランサムウェアグループが汎用品のマルウェアを使う代わりに、Living off the Landテクニックに大きく依存した、人間が操作するランサムウェアを選択しつつあります。

Living off the Land 攻撃の特徴

Living off the Land攻撃において、脅威アクターが組織のインフラを使って攻撃を始めるには、彼らは標的のシステム上でコマンドを実行できなければなりません。つまり、Living off the Land攻撃とはネットワーク偵察、水平移動、永続化のための感染後のフレームワークであると言えます。

デバイスが一旦感染すれば、攻撃者は何百ものシステムツールを自由に使えます。これらはシステム上にプリインストールされているものもあれば、Microsoftの署名付きバイナリでダウンロードされるものもあります。そして、攻撃者の手によって、ネットワーク上の他の信頼されるサードパーティ製管理ツールも友から敵へと変貌します。

Living off the Land テクニックは進化するため、単一の典型的な 攻撃パターンを特定することは困難です。しかし、これらのTTPは大きくカテゴリ分けすることができます。

Microsoft署名付きLiving off the Land TTP

Microsoftはビジネスの世界で業界を超えて遍在しています。Living off the Land Binaries and Scripts (LOLBAS) プロジェクトでは、Living off the Land 攻撃においてAPTグループが使用する機能を含むすべてのMicrosoft署名付きバイナリおよびスクリプトを文書化することを目的としています。これまでに、それぞれ異なる不正目的に利用される恐れのある、135のシステムツールがこのリストに掲載されています。これらには新しいユーザーアカウントの作成、データ圧縮および抜き出し、システム情報の収集、ターゲットシステム上でのプロセスの起動、果てはセキュリティサービスの無効化までが含まれています。プリインストール済みの脆弱なツールについてのMicrosoftのドキュメンテーション、そしてLOLBASプロジェクトのリストはどちらも拡大中であり、すべてを網羅することはできないでしょう。

コマンドライン

ターゲットに悪意あるペイロードを届ける方法に関しては、最近の研究では WMI (WMIC.exe)、コマンドラインツール (cmd.exe)、そしてPowerShell (powershell.exe) が最もよく攻撃者に使われていることがわかっています。これらのよく悪用されるコマンドラインユーティリティは、セキュリティ設定やシステムプロパティの変更、ネットワークやデバイスステータスについての機密性情報の提供、そしてデバイス間でファイルの転送や実行を行わせるのに使用されています。

具体的には、これらコマンドライングループには3つの主要な特徴が共通しています:

  1. Windowsシステム上に既にある。
  2. ほとんどの管理者や社内プロセスによって日常のタスクに頻繁に使用されている。
  3. それぞれのコア機能を、ディスクにデータを書き込むことなく実行できる。

Mimikatz

Mimikatzはほとんどのシステムにプリインストールされていない点が他のツールとは異なります。これはパスワード、ハッシュ、PIN、Kerberosチケットのダンプに使われるオープンソースユーティリティです。一部のネットワーク管理者は脆弱性評価にMimikatzを使っているケースもありますが、Windowsシステムにプリインストールされているものではありません

しかしMimikatz のダウンロード、インストール、使用を検知する従来型のセキュリティアプローチでは多くの場合不十分です。Mimikatzのようなツールを隠すための、検証済みの詳しく文書化されたさまざまなテクニックが存在しており、それほど高度でない攻撃者であっても文字列またはハッシュベースの検知を回避することは可能です。

Living off the Land攻撃と戦う自己学習型AI

Living off the Land テクニックは犯罪者を組織のデジタル環境に溶け込ませるのにきわめて効果的であることが実証されています。1つのデジタルエコシステムのログには、日々何百万もの認証、ネットワークツール、プロセスが記録されることも珍しくありません。この膨大なデジタルノイズの中から正当なツールの悪意ある利用をどうやって特定することができるでしょうか?

ほとんどの脅威同様、基本的なネットワーク衛生管理は最初のステップです。これには最小権限の原則の適用、必要のないすべてのプログラムを無効化する、ソフトウェアホワイトリストを設定する、アセットおよびアプリケーションの在庫管理を実施する、などが含まれます。しかし、これらの対策は正しい方向に向けた第一歩ではあるものの、高度な攻撃者なら十分な時間があれば必ずこれらをすり抜けることができるでしょう。

このような状況下において自己学習型AIは組織のデジタル環境を悪用する攻撃者を見つけ出す根幹的テクノロジーとなっています。それぞれ個別のデジタル環境を一から学習し、あらゆるデバイスおよびユーザーの「生活パターン」を理解します。これにより、Living off the Land攻撃であっても一連の微細な逸脱からリアルタイムで識別することができるのです。これには、たとえば新しい認証情報や通常とは異なるSMB/DCE-RPCの使用も含まれます。

それぞれのビジネスに対する深い理解により、他のツールのレーダーには引っかからない攻撃も特定することができます。Living off the Land攻撃に対し、AIは特定のツールの利用がその組織にとって正常であることを認識しつつも、そのツールの使われ方によっては一見無害な動作も間違いなく悪性であることを識別できるのです。

たとえば、自己学習型AIが Powershell ユーザーエージェントの頻繁な使用を複数のデバイスで観測したとしても、そのユーザーエージェントが普段と異なる時間に観測されたときにのみインシデントを報告します。

同様に、Darktraceは日々何千ものデバイスの組み合わせ間でWMIコマンドの送信を観測するかもしれませんが、ソースとデスティネーションの両方にとってコマンドが稀な場合にはこれらのアクティビティに対してアラートを生成します。

そしてMimikatz悪用のかすかな兆候、たとえば新しい認証情報の使用や珍しいSMBトラフィックなども、インフラ内の通常のオペレーションに埋もれてしまうことはありません。

Living off the Landテクニックは当分なくならないでしょう。これを踏まえて、多くのセキュリティチームは過去の攻撃データに頼って次の攻撃を発見しようとするレガシーベースの防御から脱却し、周囲環境についての個別の、また変化する理解をもとに脅威の兆候であるかすかな逸脱を、その脅威が正当なツールを使ったものであっても検知する、AIに移行しつつあります。

この脅威事例についての考察およびMITRE ATT&CKマッピングにはDarktraceアナリストIsabel Finn とPaul Jennings が協力しました。

観測されたMITRE ATT&CKテクニック:

戦術MITREテクニックおよびDarktraceによる検知
ReconnaissanceActive Scanning: Vulnerability Scanning (T1595.002)
Anomalous Server Activity::Server Activity on New Non-Standard Port
Resource DevelopmentObtain Capabilities: Malware (T1588.001)
Anomalous File::EXE from Rare External Location
Initial AccessDrive-By Compromise (T1189)
Anomalous File::EXE from Rare External Location
Unusual Activity::Suspicious RPC Sequence

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Hardware Additions (T1200)
Device::New Device with Attack Tools
Device::Attack and Recon Tools

Trusted Relationship (T1199)
Device::Large Outbound VPN Data
Anomalous Connection::New Outbound VPN

Valid Accounts (T1078)
User::New Admin Credentials on Client
ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
Anomalous Connection::Powershell to Rare External
IaaS::Compute::Anomalous Command Run on Azure VM
Device::New PowerShell User Agent
Device::Anomalous Active Directory Web Services

Command and Scripting Interpreter: Unix Shell (T1059.004)
IaaS::Compute::Anomalous Command Run on Azure VM

Command and Scripting Interpreter: Windows Command Shell (T1059.003)
IaaS::Compute::Anomalous Command Run on Azure VM

Inter-Process Communication: Component Object Model (T1559.001)
Unusual Activity::Suspicious RPC Sequence

Windows Management Instrumentation (T1047)
Device::New or Uncommon WMI Activity
Device::Unusual WinRM - Heuristic
Anomalous Connection::Rare WinRM Outgoing
Device::Incoming WinRM And Script Download
PersistenceCreate Account (T1136)
User::New Credential for Client
User::Multiple Uncommon New Credentials on Device

Create Account: Domain Account (T1136.002)
User::Anomalous Domain User Creation Or Addition To Group

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Privilege EscalationDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Defense EvasionDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
Credential AccessBruteforce (T1110)
Unusual Activity::Large Volume of Kerberos Failures
Device::Bruteforce Activity
Device::Spike in LDAP Activity
Device::SMB Session Bruteforce
Device::Anomalous NTLM Bruteforce
Unusual Activity::Successful Admin Bruteforce Activity
Device::LDAP Bruteforce Activity
Anomalous Server Activity::Unusual Server Kerberos

Bruteforce: Credential Stuffing (T1110.004)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Device::LDAP Password Spray

Bruteforce: Password Cracking (T1110.002)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity

Bruteforce: Password Guessing (T1110.001)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Unusual Activity::Large Volume of Radius Failures

Bruteforce: Password Spraying (T1110.003)
Device::Spike in LDAP Activity
Device::LDAP Password Spray

OS Credential Dumping: DCSync (T1003.006)
Unusual Activity::Suspicious RPC Sequence

Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001)
Device::Active Directory Reconnaissance

Unsecured Credentials: Group Policy Preferences (T1552.006)
Device::Unusual Group Policy Access

Unsecured Credentials: Credentials In Files (T1552.001)
Anomalous File::Internal::New Access to Sensitive File
DiscoveryAccount Discovery: Domain Account (T1087.002)
Device::Possible Active Directory Enumeration

Domain Trust Discovery (T1482)
Device::Possible Active Directory Enumeration

File and Directory Discovery (T1083)
Anomalous Connection::SMB Enumeration
Compliance::SMB Drive Write
User::Suspicious Admin SMB Session
Device::Suspicious SMB Query
Unusual Activity::SMB Access Failures

Network Service Scanning (T1046)
Unusual Activity::Possible RPC Recon Activity
Device::Possible RPC Endpoint Mapper Dump

Network Share Discovery (T1135)
Anomalous Connection::SMB Enumeration
Unusual Activity::Anomalous SMB Reads to New or Unusual Locations
Device::Suspicious SMB Query

Query Registry (T1012)
Device::Suspicious SMB Query

Remote System Discovery (T1018)
Anomalous Connection::SMB Enumeration

System Information Discovery (T1082)
Device::Suspicious SMB Query

System Network Configuration Discovery (T1016)
Device::Suspicious SMB Query
Lateral MovementExploitation of Remote Services (T1210)
Device::New User Agent To Internal Server
Device::Suspicious New User Agents
Device::New PowerShell User Agent
Device::New User Agent

Lateral Tool Transfer (T1570)
Compliance::SMB Drive Write
Anomalous File::Internal::Internal File Transfer on New Port

Taint Shared Content (T1080)
Compliance::SMB Drive Write

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
CollectionAutomated Collection (T1119)
Unusual Activity::Internal Data Transfer

Data Staged (T1074)
Unusual Activity::Internal Data Transfer
Anomalous Connection::Unusual Incoming Data Volume

Email Collection (T1114)
Unusual Activity::Internal Data Transfer
Command and ControlApplication Layer Protocol: Web Protocols (T1071.001)
Compromise::Empire Python Activity Pattern

Ingress Tool Transfer (T1105)
Anomalous File::EXE from Rare External Location

Non-Standard Port (T1571)
Anomalous Connection::Application Protocol on Uncommon Port
ImpactAccount Access Removal (T1531)
User::Admin Domain Password Change

Data Encrypted for Impact (T1486)
Unusual Activity::Sustained Anomalous SMB Activity

Service Stop (T1489)
Anomalous Connection::New or Uncommon Service Control
Anomalous Connection::High Volume of New or Uncommon Service Control

Oakley Cox

Oakley Cox is Director of Analysis at Darktrace, based at the Cambridge headquarters. He oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.