Living off the Land攻撃から保護する方法は？

最近、Land Off the Land攻撃が勢いを増しているため、ハッカーが古い戦略や手法を再利用していることを安全に推測できます。 土地を離れて生きることに関連する概念はほとんど新しいものではありません。 システムツールはかつてバックドアとして一般的に使用されていましたが、既知の脆弱性がシステムで利用されていました。

Living off the Land（LotL）攻撃は、サブセットとしてファイルレス攻撃が含まれることがあるため、防御するのが非常に困難です。 また、ハッカーはデュアルユースツールとメモリツールを悪用しますが、これは致命的な組み合わせです。 このガイドでは、Living off the Land攻撃について知っておく必要があることと、攻撃から自分自身または組織を保護する方法について説明します。

Living off the Land攻撃とは何ですか？

攻撃者が被害者のコンピューターにすでにインストールされているツールまたは既存のツールを使用して、手段を促進する攻撃です（情報やお金を盗む、システムを乗っ取るなど）。 このような攻撃は、関与するハッカーが悪意のあるプログラムを使用しないという点で独特です。悪意のあるプログラムは、セキュリティアプリケーションプログラムが監視するようにプログラムされています。 攻撃者は通常のツールや単純なスクリプトを使用するため、脅威の検出は非常に困難になります。

たとえば、ファイルレス攻撃では、サイバー犯罪者は、PowerShellとWMIに対応する部分で揮発性メモリを操作できます。 このようなシナリオでは、ウイルス対策およびマルウェア対策アプリケーションは脅威の検出と検出に失敗します。これは、それらのエントリでさえログに保存されないためです。 結局のところ、攻撃中に作成されるファイルはごくわずかです（またはファイルがまったく作成されません）。

攻撃者には、ファイルレスになる十分な理由があります。 彼らはおそらく、作成されるファイルの数が少ないほど、セキュリティユーティリティによって脅威が検出される可能性が低くなることを理解しました。 そして、ほとんどの場合、攻撃者は正しいです。 セキュリティアプリケーションは、そもそも何に注意すべきかわからないため、手遅れになるまでLiving off theLand攻撃を検出するのに苦労することがよくあります。

LotL攻撃にはマルウェアは含まれませんが、攻撃者（攻撃に成功した場合）は、検出できない領域にある侵入先のコンピューターにとどまるのに十分な時間を確保します。 そして、時間の経過とともに、攻撃者は最終的に機密性の高いコンポーネントに侵入し、データや操作を破壊する機会を得ます（必要に応じて）。

おそらく、2017年に世界を震撼させたPetya / NotPetya攻撃について聞いたことがあるでしょう。これらの攻撃の被害者（個人および組織）は、攻撃者が信頼できるプログラムを介してシステムに侵入したため、攻撃が行われるのを見たことがありませんでした。次に、それらのアプリケーションに悪意のあるコードを挿入しました。 従来の保護システムは失敗しました。 彼らの防御は、明らかに信頼できるソフトウェアの異常な使用によって引き起こされたのではありません。

Living off the Landの手法を使用すると、サイバー犯罪者は問題なくITシステムに侵入し、警報を発したり疑惑を引き起こしたりすることなく、ITシステムに多くの時間を費やすことができます。 したがって、そのような攻撃を定義する状況を考えると、セキュリティの専門家は攻撃の発信元を特定するのが難しいと感じています。 多くの犯罪者は、Living off theLand戦術が攻撃を実行するための理想的な方法であると考えています。

Living off the Land攻撃から安全を保つ方法（通常のユーザーまたは個人向けのヒント）

必要な予防策を講じて積極的に行動することで、LotL戦術を通じてコン​​ピューターやネットワークがサイバー犯罪者にさらされる可能性を減らすことができます。

1. ネットワーク内のデュアルユースユーティリティの使用を常に監視または確認してください。

2. 利用可能または該当する場合は、アプリケーションのホワイトリストを使用します。

3. 予期しない、または疑わしい電子メールを受信した場合は、注意が必要です。 このようなメッセージでは、何も（リンクや添付ファイル）クリックしない方がよいでしょう。

4. すべてのアプリケーション（プログラム）とオペレーティングシステム（Windowsなど）の更新プログラムを常にダウンロードしてインストールしてください。

5. マクロを有効にする必要があるMicrosoftOffice添付ファイルを使用する場合は注意が必要です。 そもそもそのような添付ファイルを使用しない方がよいでしょう–使用しない余裕がある場合。

6. 可能な場合は、高度なセキュリティ機能を構成します。 高度なセキュリティ機能とは、2要素認証（2FA）、ログイン通知またはプロンプトなどを意味します。

7. すべてのアカウントとプロファイル（ネットワークまたはプラットフォーム全体）に強力な一意のパスワードを使用します。 パスワードマネージャーを入手する–すべてのパスワードを覚えておくのに役立つパスワードマネージャーが必要な場合。

8. セッションが終了したら、必ずプロファイルまたはアカウントをネットワークからサインアウトすることを忘れないでください。

土地外での攻撃を回避する方法（組織や企業向けのヒント）

Living off the Landの戦術は、最も洗練されたハッキン​​グ手法の一部であるため、組織が特定して回避するための大きなレベルの課題をもたらします。 それでもなお、企業がそのような攻撃のリスクを軽減する（または、そのような攻撃が発生した場合にその影響を軽減する）方法はまだあります。

1. 良好なサイバー衛生を維持する：

このヒントは、額面通りに考えると単純または基本的に見えるかもしれませんが、おそらく最も重要なものです。 LotL戦術が採用されたものを含む、歴史上のサイバー攻撃の大部分は、過失またはセキュリティ慣行の欠如のために成功しました。 多くの企業は、使用するツールやプログラムを更新したりパッチを適用したりすることを気にしません。 ソフトウェアは通常、脆弱性とセキュリティホールを封じるためにパッチとアップデートを必要とします。

パッチまたはアップデートがインストールされていない場合、脅威の攻撃者が脆弱性を見つけてそれらを利用できるように、ドアは開いたままになります。 組織には、アプリケーションのインベントリを確実に保持する義務があります。 このようにして、古いプログラムやパッチが適用されていないプログラム、さらにはオペレーティングシステムを特定できます。 また、重要な更新タスクをいつ実行する必要があるか、およびスケジュールを維持する方法も知っています。

さらに、スタッフはセキュリティ意識のトレーニングを受ける必要があります。 フィッシングメールを開かないように個人に教えるだけではありません。 理想的には、ワーカーは組み込みのWindows機能とコードがどのように機能するかを学ぶ必要があります。 このようにして、動作の異常や不整合、悪意のあるアクティビティ、バックグラウンドで実行されている疑わしいアプリケーションやスクリプトを見つけて、検出を回避しようとします。 Windowsのバックグラウンドアクティビティに精通しているスタッフは、通常、通常のサイバー犯罪者より一歩進んでいます。

2. 適切なアクセス権とアクセス許可を構成します。

たとえば、従業員が電子メール内の悪意のあるリンクをクリックしても、必ずしも悪意のあるプログラムが従業員のシステムに到達するわけではありません。 説明したシナリオでは、悪意のあるプログラムがネットワーク上を移動し、他のシステムに到達するようにシステムを設計する必要があります。 その場合、サードパーティのアプリと通常のユーザーが厳密なアクセスプロトコルを使用できるように、ネットワークは十分にセグメント化されていると言えます。

チップの重要性は、可能な限り多くのハイライトに値します。 ワーカーに提供されるアクセス権と特権に関して堅固なプロトコルを使用すると、システムが危険にさらされるのを防ぐのに大いに役立ちます。 これは、成功したLotL攻撃とどこにも行かない攻撃の違いになる可能性があります。

3. 専用の脅威ハンティング戦略を採用します。

脅威ハンターが協力してさまざまな形態の脅威を見つけると、脅威が検出される可能性が大幅に高まります。 最良のセキュリティプラクティスでは、企業（特に大規模な組織）が専用の脅威ハンターを採用し、ITインフラストラクチャのさまざまなセグメントを通過して、最も致命的または高度な攻撃のわずかな兆候さえもチェックする必要があります。

ビジネスが比較的小規模な場合、または社内に脅威ハンティングチームを配置する余裕がない場合は、脅威ハンティング会社または同様のセキュリティ管理サービスにニーズをアウトソーシングすることをお勧めします。 その重大なギャップを埋めることに興味を持つフリーランサーの他の組織やチームを見つける可能性があります。 いずれにせよ、脅威ハンティング操作が実行される限り、それはすべて良いことです。

4. エンドポイント検出および応答（EDR）の構成：

サイレント障害は、サイバー攻撃を防ぐための重要な用語の1つです。 サイレント障害とは、専用のセキュリティまたは防御システムがサイバー攻撃の識別と防御に失敗し、攻撃の発生後にアラームが鳴らないシナリオまたはセットアップを指します。

これを予測されるイベントと並行して考えてみてください。ファイルレスマルウェアがなんとかして保護レイヤーを通過し、ネットワークにアクセスできるようになった場合、システム全体を分析して、より大きな問題に備えて、システム全体を分析しようとする可能性があります。攻撃。

この目的を達成するには、問題を解決するために、堅牢なEndpoint Detection and Response（EDR）システムをセットアップする必要があります。 優れたEDRシステムを使用すると、エンドポイントに存在する疑わしいアイテムを特定して分離し、それらを排除または排除することもできます。

5. ハッキングされたときのイベントとシナリオを評価します（ハッキングされた場合）：

マシンがハッキングされたり、ネットワークが危険にさらされたりした場合は、攻撃の蓄積にあるイベントを調べるとよいでしょう。 攻撃者の成功を支援する上で主要な役割を果たしたファイルとプログラムを確認することをお勧めします。

サイバーセキュリティアナリストを雇用して、過去の攻撃を測定するために使用できるツールとシステムに焦点を当てるように依頼することができます。 企業が攻撃の犠牲になるシナリオのほとんどは、疑わしいレジストリキーと異常な出力ファイル、およびアクティブまたはまだ存在する脅威の識別によって特徴付けられます。

影響を受けるファイルやその他の手がかりを見つけたら、それらを徹底的に分析することをお勧めします。 理想的には、どこで問題が発生したか、何を改善すべきかなどを把握する必要があります。 このようにして、より多くを学び、貴重な洞察を得ることができます。つまり、セキュリティ戦略のギャップを埋めて、将来のLotL攻撃を防ぐことができます。

おすすめされた

マルウェア対策でPCを脅威から保護する

アンチウイルスが見逃す可能性のあるマルウェアがないかPCをチェックし、AuslogicsAnti-Malwareを使用して脅威を安全に削除します

Auslogics Anti-Malwareは、認定されたMicrosoft Silver ApplicationDeveloperであるAuslogicsの製品です。

ダウンロード中

ヒント

このガイドのメインテーマはセキュリティであるため、優れた提案についてお話しする機会はこれ以上ありません。 コンピューターまたはネットワークのセキュリティを強化する場合は、AuslogicsAnti-Malwareを入手することをお勧めします。 この一流の保護ユーティリティを使用すると、現在のセキュリティ設定を改善できます。これは、複数の脅威に対処するのに十分な動的ではない可能性があります。

悪意のあるプログラムとの戦いでは、改善はいつでも歓迎されます。 何かが現在のセキュリティアプリケーションを通過したことを知ることはできません。あるいは、おそらく、それを使用していません。 また、コンピュータが現在侵害または感染していないことを確実に言うことはできません。 いずれにせよ、推奨されるアプリケーションをダウンロードして実行することで、（以前よりも）安全を確保できる可能性が高くなります。