ハイブリッド攻撃速報: Salt Typhoon - 通信事業者のサイバー攻撃における静かな嵐 > ハイブリッド攻撃速報

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
サイバー攻撃解剖

Living off the Land (LotL) 攻撃の解剖学

このシミュレーション (Volt Typhoon) では、脅威者がコマンド&コントロール技術、パスワードスプレー技術、ブルートフォース試行など、あらゆる手段を駆使して検知を回避し、複数のハイブリッド攻撃サーフェス (攻撃対象サーフェス) を陸続きにするため、防御者は試練にさらされました。最も高い脅威シグナルの有効性で武装したセキュリティアナリストは、どこに重点的に取り組むべきかを正確に把握しました。

Living off the Land (LotL) 攻撃の解剖学
Living off the Land (LotL) 攻撃の解剖学
ダウンロードする言語を選択
ダウンロード
アクセスレポート
ダウンロードありがとうございます
以下のリソース(無料)アクセスしてください。
ダウンロード
ダウンロード
フランス語版ダウンロード
ドイツ語版ダウンロード
スペイン語版ダウンロード
日本語版ダウンロード
イタリア語版ダウンロード

LOTL攻撃とは?

Living off the Land(LOTL)攻撃は、ステルス型のサイバー攻撃戦略であり、攻撃者は、悪意のある活動を実行するために、お客様の環境に既に存在する正当なツールやプロセスを悪用します。検知攻撃者は、従来のマルウェアや不審なファイルに依存する代わりに、信頼できるネイティブバイナリ、スクリプト、または管理ツール(オペレーティングシステムやソフトウェア環境の一部)を使用します。

誰がLOTL攻撃を使っているのか?

LOTL 攻撃は、Black Basta のようなランサムウェア・グループによく使用されますが、その理由は 1 つあります:検知攻撃者は既存のツールを使用するため、EDR(エンドポイントの検知とレスポンス)やその他の防御ツールによって、そのアクションにフラグが立てられることはありません。悪意のあるコードやマルウェアもないため、攻撃者が紛れ込みやすく、異常なパターンを発見しにくいのです。日常的に使用されているツールを使用するため、LotL攻撃は通常のユーザー活動のように見えることがよくあります。

LOTL攻撃はどのように機能するのですか?

LOTL 攻撃は隠蔽を得意とし、データセンター、クラウド、および ID サーフェスを長期間にわたって移動することができます。典型的なLOTL攻撃は次のようなものです:

  1. アクセスを得る: 攻撃者は次のような方法で最初のアクセスを得る。 フィッシング脆弱性の悪用、またはその他の手段。
  1. 組み込みツールを使用する: 内部に侵入すると、攻撃者はPowerShell、Windows Management Instrumentation(WMI)、Unix/Linuxのシェルコマンドなどの正規のシステムツールを使用する。これらのツールは信頼されており、通常セキュリティ対策によってフラグが立てられることはありません。
  1. 悪意のあるコマンドを実行する: 攻撃者は、標的としたシステムを使って悪意のあるコマンドを実行します。たとえば、PowerShellを使用して、ディスクベースの検出メカニズムをバイパスして、悪意のあるスクリプトをメモリから直接ダウンロードして実行することができます。
  1. 横方向に移動する: 検知されないまま、攻撃者は LOTL テクニックを使用してネットワーク内を横方向に移動し、機密データにアクセスし、そのデータを流出させるか、ランサムウェアのような破壊的な攻撃のための環境を準備します。

一般的なLotLツールの例

  • PowerShell:Windowsのこの強力なスクリプト言語とシェルフレームワークを悪用して、さまざまな攻撃段階のスクリプトを実行することができます。
  • Windows Management Instrumentation (WMI): リモート管理によく使われるこのインフラは、ラテラルムーブやリモートでのコマンド実行に活用できます。
  • PsExec: この正規のコマンドラインツールは、他のシステム上でプロセスを実行するために使用され、LOTL 攻撃者が横移動のためによく利用します。
  • MSHTA: HTMLアプリケーション(HTA)ファイルを実行するWindowsツールで、悪意のあるスクリプトを実行するために悪用される可能性がある。
  • CertUtil: 証明書を管理するためのWindowsコマンドラインツールで、ファイルのダウンロードに悪用される可能性がある。

LOTLの攻撃にどう対抗するか

LOTL 攻撃は、従来の防御ツールでは検知できません。セキュリティ・チームは、日常業務のノイズに紛れるステルス攻撃を発見するための高度な脅威ハンティング戦略を必要としています。

Vectra AI は、振る舞い アナリティクスを使用して、日常的なアラートと実際のセキュリティ イベントを分離し、LOTL 攻撃の特徴である見逃しやすい動作を特定します。 高度なAI主導 検出は、以下のような一般的な LOTL の手口を特定します:

例えば、侵害されたホームオフィスを経由して開始される模擬攻撃の場合:

  • 攻撃者は、気づかれないようにするため、ローカル・ドライブとクレデンシャルの情報を収集しようとした。 
  • 複数の面を移動しながら、攻撃者はさらに情報を集めて前進し、足跡を隠した。
  • このようなステルス技術であっても、Vectra AIは、攻撃者が実行する前に、攻撃活動を検出、分析、トリアージ、相関、検証した。

Vectra AIがLOTLの攻撃をどのように阻止したのか

ステルス性の高い LOTL テクニックを使用する高度に熟練した脅威行為者に、どのように追いつけばよいのでしょうか?私たちは、Volt Typhoon 攻撃をシミュレートしました。攻撃解剖図をダウンロードして、他の技術者が見逃している国家主導の LOTL 攻撃を防御者がどのように阻止できるかをご覧ください。

Volt TyphoonはLiving off the land攻撃の例だ。

世界中の専門家や企業から信頼されています

よくあるご質問(FAQ)