Living off the Land (環境に寄生する)手法:ハッカー達はあなたの環境にどうやって紛れ込むのか

サイバー犯罪者達はそれぞれの襲撃ごとに専用のマルウェアを記述する必要はありません。その組織のインフラを攻撃に利用したほうが安上がりであり、簡単であり、より効果的なことが多いのです。 ‘Living off the Land’ (環境に寄生する)と呼ばれているこの手法では、脅威アクター達は標的とした組織のデジタル環境内に既にあるツールを使用してサイバーキルチェーンを進めていきます。
こうした不正な目的のために最もよく悪用されるツールとしては、Powershell、Windows Management Interface (WMI)、PsExecがあります。これらのツールはネットワーク管理者の日々のルーチン作業の一部として頻繁に使用されており、静的なルールやシグネチャに依存する従来のセキュリティツールは、多くの場合正当な使用と悪意ある使用を区別するのに苦労します。
Living off the Land という言葉が最初に使われたのは2013年でしたが、こうしたツール、テクニック、および手順(TTP)は近年ブームとなっています。その理由の一つは、防御セキュリティのこれまでのアプローチ(例:以前の攻撃で遭遇したファイルハッシュ、ドメイン、およびその他の脅威の痕跡のブラックリスト化)がこれらの攻撃の識別に不十分であるからです。こうして、これらのステルス性の、しばしばファイルレスな攻撃はメインストリームに進出してきました。
そして困ったことに、Living off the Land攻撃は高度に組織化された、標的を絞ったハッキングに特に実績があるのです。APTグループは長いことLiving off the LandのTTPを好んできました。検知を免れるのが最優先であるためです。そして現在の傾向として、多くのランサムウェアグループが汎用品のマルウェアを使う代わりに、Living off the Landテクニックに大きく依存した、人間が操作するランサムウェアを選択しつつあります。
Living off the Land 攻撃の特徴
Living off the Land攻撃において、脅威アクターが組織のインフラを使って攻撃を始めるには、彼らは標的のシステム上でコマンドを実行できなければなりません。つまり、Living off the Land攻撃とはネットワーク偵察、水平移動、永続化のための感染後のフレームワークであると言えます。
デバイスが一旦感染すれば、攻撃者は何百ものシステムツールを自由に使えます。これらはシステム上にプリインストールされているものもあれば、Microsoftの署名付きバイナリでダウンロードされるものもあります。そして、攻撃者の手によって、ネットワーク上の他の信頼されるサードパーティ製管理ツールも友から敵へと変貌します。
Living off the Land テクニックは進化するため、単一の典型的な 攻撃パターンを特定することは困難です。しかし、これらのTTPは大きくカテゴリ分けすることができます。
Microsoft署名付きLiving off the Land TTP
Microsoftはビジネスの世界で業界を超えて遍在しています。Living off the Land Binaries and Scripts (LOLBAS) プロジェクトでは、Living off the Land 攻撃においてAPTグループが使用する機能を含むすべてのMicrosoft署名付きバイナリおよびスクリプトを文書化することを目的としています。これまでに、それぞれ異なる不正目的に利用される恐れのある、135のシステムツールがこのリストに掲載されています。これらには新しいユーザーアカウントの作成、データ圧縮および抜き出し、システム情報の収集、ターゲットシステム上でのプロセスの起動、果てはセキュリティサービスの無効化までが含まれています。プリインストール済みの脆弱なツールについてのMicrosoftのドキュメンテーション、そしてLOLBASプロジェクトのリストはどちらも拡大中であり、すべてを網羅することはできないでしょう。
コマンドライン
ターゲットに悪意あるペイロードを届ける方法に関しては、最近の研究では WMI (WMIC.exe)、コマンドラインツール (cmd.exe)、そしてPowerShell (powershell.exe) が最もよく攻撃者に使われていることがわかっています。これらのよく悪用されるコマンドラインユーティリティは、セキュリティ設定やシステムプロパティの変更、ネットワークやデバイスステータスについての機密性情報の提供、そしてデバイス間でファイルの転送や実行を行わせるのに使用されています。
具体的には、これらコマンドライングループには3つの主要な特徴が共通しています:
- Windowsシステム上に既にある。
- ほとんどの管理者や社内プロセスによって日常のタスクに頻繁に使用されている。
- それぞれのコア機能を、ディスクにデータを書き込むことなく実行できる。
Mimikatz
Mimikatzはほとんどのシステムにプリインストールされていない点が他のツールとは異なります。これはパスワード、ハッシュ、PIN、Kerberosチケットのダンプに使われるオープンソースユーティリティです。一部のネットワーク管理者は脆弱性評価にMimikatzを使っているケースもありますが、Windowsシステムにプリインストールされているものではありません。
しかしMimikatz のダウンロード、インストール、使用を検知する従来型のセキュリティアプローチでは多くの場合不十分です。Mimikatzのようなツールを隠すための、検証済みの詳しく文書化されたさまざまなテクニックが存在しており、それほど高度でない攻撃者であっても文字列またはハッシュベースの検知を回避することは可能です。
Living off the Land攻撃と戦う自己学習型AI
Living off the Land テクニックは犯罪者を組織のデジタル環境に溶け込ませるのにきわめて効果的であることが実証されています。1つのデジタルエコシステムのログには、日々何百万もの認証、ネットワークツール、プロセスが記録されることも珍しくありません。この膨大なデジタルノイズの中から正当なツールの悪意ある利用をどうやって特定することができるでしょうか?
ほとんどの脅威同様、基本的なネットワーク衛生管理は最初のステップです。これには最小権限の原則の適用、必要のないすべてのプログラムを無効化する、ソフトウェアホワイトリストを設定する、アセットおよびアプリケーションの在庫管理を実施する、などが含まれます。しかし、これらの対策は正しい方向に向けた第一歩ではあるものの、高度な攻撃者なら十分な時間があれば必ずこれらをすり抜けることができるでしょう。
このような状況下において自己学習型AIは組織のデジタル環境を悪用する攻撃者を見つけ出す根幹的テクノロジーとなっています。それぞれ個別のデジタル環境を一から学習し、あらゆるデバイスおよびユーザーの「生活パターン」を理解します。これにより、Living off the Land攻撃であっても一連の微細な逸脱からリアルタイムで識別することができるのです。これには、たとえば新しい認証情報や通常とは異なるSMB/DCE-RPCの使用も含まれます。
それぞれのビジネスに対する深い理解により、他のツールのレーダーには引っかからない攻撃も特定することができます。Living off the Land攻撃に対し、AIは特定のツールの利用がその組織にとって正常であることを認識しつつも、そのツールの使われ方によっては一見無害な動作も間違いなく悪性であることを識別できるのです。
たとえば、自己学習型AIが Powershell ユーザーエージェントの頻繁な使用を複数のデバイスで観測したとしても、そのユーザーエージェントが普段と異なる時間に観測されたときにのみインシデントを報告します。
同様に、Darktraceは日々何千ものデバイスの組み合わせ間でWMIコマンドの送信を観測するかもしれませんが、ソースとデスティネーションの両方にとってコマンドが稀な場合にはこれらのアクティビティに対してアラートを生成します。
そしてMimikatz悪用のかすかな兆候、たとえば新しい認証情報の使用や珍しいSMBトラフィックなども、インフラ内の通常のオペレーションに埋もれてしまうことはありません。
Living off the Landテクニックは当分なくならないでしょう。これを踏まえて、多くのセキュリティチームは過去の攻撃データに頼って次の攻撃を発見しようとするレガシーベースの防御から脱却し、周囲環境についての個別の、また変化する理解をもとに脅威の兆候であるかすかな逸脱を、その脅威が正当なツールを使ったものであっても検知する、AIに移行しつつあります。
この脅威事例についての考察およびMITRE ATT&CKマッピングにはDarktraceアナリストIsabel Finn とPaul Jennings が協力しました。
観測されたMITRE ATT&CKテクニック:
戦術 | MITREテクニックおよびDarktraceによる検知 |
Reconnaissance | Active Scanning: Vulnerability Scanning (T1595.002) Anomalous Server Activity::Server Activity on New Non-Standard Port |
Resource Development | Obtain Capabilities: Malware (T1588.001) Anomalous File::EXE from Rare External Location |
Initial Access | Drive-By Compromise (T1189) Anomalous File::EXE from Rare External Location Unusual Activity::Suspicious RPC Sequence External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Hardware Additions (T1200) Device::New Device with Attack Tools Device::Attack and Recon Tools Trusted Relationship (T1199) Device::Large Outbound VPN Data Anomalous Connection::New Outbound VPN Valid Accounts (T1078) User::New Admin Credentials on Client |
Execution | Command and Scripting Interpreter: PowerShell (T1059.001) Anomalous Connection::Powershell to Rare External IaaS::Compute::Anomalous Command Run on Azure VM Device::New PowerShell User Agent Device::Anomalous Active Directory Web Services Command and Scripting Interpreter: Unix Shell (T1059.004) IaaS::Compute::Anomalous Command Run on Azure VM Command and Scripting Interpreter: Windows Command Shell (T1059.003) IaaS::Compute::Anomalous Command Run on Azure VM Inter-Process Communication: Component Object Model (T1559.001) Unusual Activity::Suspicious RPC Sequence Windows Management Instrumentation (T1047) Device::New or Uncommon WMI Activity Device::Unusual WinRM - Heuristic Anomalous Connection::Rare WinRM Outgoing Device::Incoming WinRM And Script Download |
Persistence | Create Account (T1136) User::New Credential for Client User::Multiple Uncommon New Credentials on Device Create Account: Domain Account (T1136.002) User::Anomalous Domain User Creation Or Addition To Group External Remote Services (T1133) Anomalous Connection::IPSec VPN to Rare IP Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Privilege Escalation | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request |
Defense Evasion | Domain Policy Modification (T1484) Device::Unusual Group Policy Access Domain Policy Modification: Group Policy Modification (T1484.001) Device::Unusual Group Policy Access Valid Accounts (T1078) User::New Admin Credentials on Client Valid Accounts: Domain Accounts (T1078.002) User::New Credential Following DPAPI BackupKey Request Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Credential Access | Bruteforce (T1110) Unusual Activity::Large Volume of Kerberos Failures Device::Bruteforce Activity Device::Spike in LDAP Activity Device::SMB Session Bruteforce Device::Anomalous NTLM Bruteforce Unusual Activity::Successful Admin Bruteforce Activity Device::LDAP Bruteforce Activity Anomalous Server Activity::Unusual Server Kerberos Bruteforce: Credential Stuffing (T1110.004) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Device::LDAP Password Spray Bruteforce: Password Cracking (T1110.002) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Bruteforce: Password Guessing (T1110.001) Device::Spike in LDAP Activity Anomalous Connection::RDP Bruteforce Device::LDAP Bruteforce Activity Unusual Activity::Large Volume of Radius Failures Bruteforce: Password Spraying (T1110.003) Device::Spike in LDAP Activity Device::LDAP Password Spray OS Credential Dumping: DCSync (T1003.006) Unusual Activity::Suspicious RPC Sequence Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001) Device::Active Directory Reconnaissance Unsecured Credentials: Group Policy Preferences (T1552.006) Device::Unusual Group Policy Access Unsecured Credentials: Credentials In Files (T1552.001) Anomalous File::Internal::New Access to Sensitive File |
Discovery | Account Discovery: Domain Account (T1087.002) Device::Possible Active Directory Enumeration Domain Trust Discovery (T1482) Device::Possible Active Directory Enumeration File and Directory Discovery (T1083) Anomalous Connection::SMB Enumeration Compliance::SMB Drive Write User::Suspicious Admin SMB Session Device::Suspicious SMB Query Unusual Activity::SMB Access Failures Network Service Scanning (T1046) Unusual Activity::Possible RPC Recon Activity Device::Possible RPC Endpoint Mapper Dump Network Share Discovery (T1135) Anomalous Connection::SMB Enumeration Unusual Activity::Anomalous SMB Reads to New or Unusual Locations Device::Suspicious SMB Query Query Registry (T1012) Device::Suspicious SMB Query Remote System Discovery (T1018) Anomalous Connection::SMB Enumeration System Information Discovery (T1082) Device::Suspicious SMB Query System Network Configuration Discovery (T1016) Device::Suspicious SMB Query |
Lateral Movement | Exploitation of Remote Services (T1210) Device::New User Agent To Internal Server Device::Suspicious New User Agents Device::New PowerShell User Agent Device::New User Agent Lateral Tool Transfer (T1570) Compliance::SMB Drive Write Anomalous File::Internal::Internal File Transfer on New Port Taint Shared Content (T1080) Compliance::SMB Drive Write Use Alternate Authentication Material: Pass the Hash (T1550.002) User::New Admin Credentials on Client |
Collection | Automated Collection (T1119) Unusual Activity::Internal Data Transfer Data Staged (T1074) Unusual Activity::Internal Data Transfer Anomalous Connection::Unusual Incoming Data Volume Email Collection (T1114) Unusual Activity::Internal Data Transfer |
Command and Control | Application Layer Protocol: Web Protocols (T1071.001) Compromise::Empire Python Activity Pattern Ingress Tool Transfer (T1105) Anomalous File::EXE from Rare External Location Non-Standard Port (T1571) Anomalous Connection::Application Protocol on Uncommon Port |
Impact | Account Access Removal (T1531) User::Admin Domain Password Change Data Encrypted for Impact (T1486) Unusual Activity::Sustained Anomalous SMB Activity Service Stop (T1489) Anomalous Connection::New or Uncommon Service Control Anomalous Connection::High Volume of New or Uncommon Service Control |