Living off the Land (LotL) 攻撃とは、オペレーティング システム内の正規のツールとプロセスを利用して悪意のあるアクティビティを実行することを指します。これらの攻撃は、正規の、多くの場合ホワイトリストに登録されているアプリケーションを悪用してセキュリティ対策を回避し、攻撃者が一見通常のシステム動作内で自身のアクションを隠すためによく使用されます。
陸地攻撃の起源とその最初の言及の歴史
Living off the Land 攻撃の概念は 2000 年代初頭に遡り、セキュリティ専門家が正規のシステム ツールを使用して拡散し永続性を維持するマルウェアの増加に気づきました。 「Living off the Land」という用語は、荒野での生存主義的なアプローチと同様に、ターゲットのシステムですぐに利用できるものを利用して生き残るための攻撃者のアプローチを表す造語です。
『Living off the Land Attack』の詳細情報
Living off the Land 攻撃は、安全であることが期待されるツールや機能の使用を伴うため、ステルス的かつ複雑です。このようなツールには、PowerShell などのスクリプト エンジン、管理ツール、その他のシステム バイナリが含まれます。
よく悪用されるツールの例
- パワーシェル
- Windows Management Instrumentation (WMI)
- スケジュールされたタスク
- Microsoft Officeマクロ
Living off the Land Attack の内部構造
「Living off the Land」攻撃の仕組み
- 浸潤: 攻撃者は、多くの場合、フィッシングや脆弱性の悪用を通じて、初期アクセスを取得します。
- 利用:システム上の既存のツールを使用して、悪意のあるコマンドを実行します。
- 伝搬:正規のツールを利用して、ネットワーク内を横方向に移動します。
- 窃盗: 機密データが収集され、攻撃者に送り返されます。
陸上攻撃の主な特徴の分析
- ステルスな性質: 正規のツールを使用することで、これらの攻撃は検出を回避できます。
- 高度な複雑性: 多くの場合、洗練され、多段階化されています。
- 軽減するのが難しい: 従来のセキュリティ ソリューションでは、それらを検出するのが難しい場合があります。
陸上攻撃の種類
| タイプ | 説明 |
|---|---|
| スクリプトベースの攻撃 | PowerShell または他のスクリプト言語を使用して悪意のあるコードを実行する。 |
| マクロ攻撃 | ペイロードを実行するためにドキュメントに悪意のあるマクロを埋め込む。 |
| バイナリプロキシ | 正規のバイナリを使用して、悪意のあるコードの実行を代理します。 |
Living off the Land の攻撃方法、問題点とその解決策
- 使用方法:標的型攻撃、APT、情報収集。
- 問題点: 検出は難しく、修復は複雑です。
- ソリューション: 行動分析、エンドポイント検出および対応 (EDR) システム、ユーザー教育。
主な特徴と類似用語との比較
| 特性 | 土地を離れて暮らす | 従来のマルウェア |
|---|---|---|
| 検出難易度 | 高い | 中くらい |
| 複雑 | 高い | 不定 |
| ツールの利用 | 正規のツール | カスタムマルウェア |
陸上攻撃による生活に関連する将来の展望と技術
セキュリティ テクノロジーの継続的な進化に伴い、攻撃者もその戦術を進化させています。将来の方向性としては、人工知能、機械学習のより広範な使用、モノのインターネット (IoT) デバイスとの攻撃の統合が含まれる可能性があります。
プロキシ サーバーの使用方法、または非陸地攻撃との関連付け方法
プロキシ サーバーは、Living off the Land 攻撃の防御手段にもなると同時にリスクにもなります。これらは、組織がトラフィックを監視およびフィルタリングするために使用でき、潜在的に悪意のあるアクティビティを検出できます。逆に、攻撃者はプロキシ サーバーを使用して発信元を隠し、攻撃を複雑にすることもできます。
