私はマルウェアの脅威と、個人情報を盗むことからユーザーのデバイスを完全に乗っ取ったりボットネットに追加したりするために、脅威アクターがどのようにマルウェアを利用しているかについて頻繁に書いています。これらの悪意のあるプログラムは、さまざまな形式のフィッシング、ClickFix 攻撃、マルバタイジング、さらには Apple や Google によって精査および承認されたアプリを通じて拡散します。
しかし、ユーザー (およびセキュリティ ツール) がマルウェア感染の兆候を特定する能力が向上し、そもそも感染を回避するのに十分な知識を身につけるにつれて、一部のサイバー犯罪者は戦術を変更しました。Living Off the Land (LOTL) 攻撃は、危険信号が発生する可能性が低い組み込みのシステム ユーティリティとツールを悪用します。
Living Off the Land 攻撃の仕組み
Huntress が説明しているように、LOTL とは、外部から新しいリソースをインポートするのではなく、ローカル リソースを使用することを指します。攻撃者は、ユーザーのマシンにカスタム ビルドのマルウェアを忍び込ませるのではなく、PowerShell、Windows Management Instrumentation (WMI)、組み込みユーティリティ、Microsoft Teams などの信頼できるアプリケーションなどのツールを悪意のある目的に悪用します。これらのツールは通常のシステム プロセスに溶け込んでおり、ウイルス対策プログラムがこれらのツールに不審なフラグを立てる可能性は低く、ほとんどの場合、そうではありません。 想定 そこにいるために。
正規のツールをハイジャックすることにより、攻撃者はシステムやネットワークにアクセスし、リモートでコードを実行し、権限を昇格させ、データを盗み、さらには他の形式のマルウェアをインストールすることができます。 PowerShell コマンド ライン インターフェイスでは、ファイルのダウンロードとコマンドの実行が可能であり、WMI と同様に悪意のある行為者にとって人気のあるツールとなっていますが、Unix バイナリや署名付き Windows ドライバーも頻繁に悪用されています。
LOTL 攻撃者はエクスプロイト キットを使用する可能性があり、フィッシングやその他の形式のソーシャル エンジニアリングを介してファイルレス マルウェアを拡散したり、ネイティブ ツールにアクセスするために盗んだ認証情報やファイルレス ランサムウェアを拡散したりする可能性があります。 Malwarebytes Labs は最近、信頼できるモバイル デバイス管理プラットフォーム上でホストされている攻撃サーバーを介して実行される、正規の Windows デバイス登録機能を悪用するために、偽の Google Meet アップデートを通じて拡散したキャンペーンを特定しました。
これまでのところどう思いますか?
LOTL 攻撃を検出する方法
LOTL 攻撃を特定、対処、防止するための戦術の多くは、防御する大規模なインフラストラクチャを持つ組織を対象としていますが、個人ユーザーもこの種の脅威に対して警戒することができます (またそうすべきです)。いつものように、悪意のある者が資格情報を盗み、ネットワークやデバイスにアクセスするために使用するフィッシングやその他の形態のソーシャル エンジニアリングの兆候に注意してください。リンク、ソフトウェアやセキュリティのアップデートに関する通知、好奇心、不安、緊急性、または恐怖を引き起こすものを含む一方的な通信には注意してください。脆弱性が悪用されないように、セキュリティ更新プログラムが入手可能になったらすぐにインストールしてください。
特に LOTL を検出する場合、ハントレス氏は、単なる不審なファイルやプログラムではなく、通常とは異なる動作や予期しないパターンで実行されるツール、システム ユーティリティからの異常なネットワーク接続などを探すようアドバイスしています。一般的に悪用されるツールの使用状況を監視および記録し、リモート アクセス ツールとデバイスの登録を監査します。