無料会員登録LOLBAS(Living Off the Land Binaries And Scripts)は、Windows環境において、正規のバイナリやスクリプトを攻撃目的で悪用する手法、またはその手法で使われる正規ツールのリストを指します。LOLBASは、セキュリティ検知を回避するために、システムに標準搭載されている信頼されたツールを使用する点が特徴です。
「LOLBAS」という言葉は、Living Off the Land Binaries(LOLBin)の拡張版として、正規バイナリだけでなくスクリプトやライブラリを含めたものを表しています。この手法は、専用マルウェアを使用しないため、伝統的なシグネチャベースのセキュリティ対策では検出が難しいことが多いです。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
LOLBASの特徴
1. 正規ツールの悪用
攻撃者はWindowsに標準搭載されているツール(例: cmd.exe, powershell.exe)やスクリプト(例: vbscript)を悪用して攻撃を実行します。
2. セキュリティの回避
LOLBASの手法では、正規ツールを使用するため、セキュリティツールが異常を検知しにくいです。これにより、攻撃者は長期間にわたりシステム内に潜伏できます。
3. 侵入の痕跡が少ない
専用マルウェアや外部リソースを使用せず、システム内の既存のリソースを利用するため、フォレンジック調査でも痕跡が見つかりにくいです。
4. 多目的な活用
LOLBASツールは、侵入、横展開(Lateral Movement)、データ窃取、持続性の維持(Persistence)など、さまざまな攻撃フェーズで活用されます。
主なLOLBASツールの例
以下は、LOLBASとして一般的に使用される正規ツールやスクリプトの一部です。
1. Windowsのバイナリ
- PowerShell(powershell.exe)
スクリプトの実行、マルウェアのダウンロード、リモート操作。 - CMD(cmd.exe)
コマンドラインインターフェースでシステム操作。 - CertUtil(certutil.exe)
証明書管理ツールを使用したファイルのエンコード・デコード。 - MSHTA(mshta.exe)
HTMLアプリケーションを実行して悪意のあるコードを起動。 - Rundll32(rundll32.exe)
DLLファイルを実行して任意のコードを実行。
2. Windowsスクリプト
- VBScript
スクリプトを利用してシステム操作や悪意あるコードの実行。 - JScript
Webブラウザ環境で悪意あるスクリプトを実行。
3. 管理ツール
- WMI(Windows Management Instrumentation)
システム情報の収集やリモート操作。 - Task Scheduler(schtasks.exe)
定期的なタスクを設定して持続的な攻撃を実行。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
LOLBASの活用例(攻撃シナリオ)
1. 初期侵入
攻撃者は、フィッシングメールや不正なリンクを利用して、標的システムに侵入します。
2. 情報収集
PowerShellやWMIを使用して、システム構成やネットワーク情報を収集します。
3. 権限昇格
RunAsやTask Schedulerを悪用して管理者権限を取得します。
4. 横展開
PsExecやWMIを使用して、ネットワーク内の他のシステムにアクセスします。
5. データ窃取
CertUtilやPowerShellを使用して、データを外部サーバーにアップロードします。
6. 持続性の維持
Task Schedulerやレジストリの自動起動設定を使用して、バックドアを維持します。
LOLBASに対する防御策
1. 実行制御
- アプリケーションホワイトリスト: AppLockerやWindows Defender Application Controlを利用して、許可されたツールだけを実行可能にします。
- 不要なツール(例:
mshta.exeやrundll32.exe)を無効化。
2. ログの監視
- Windows Event ViewerやSIEM(Security Information and Event Management)を使用して、LOLBinやスクリプトの異常な実行を監視します。
- 特に
PowerShellやWMIの使用ログを重点的にチェック。
3. ネットワークの制御
4. 権限の最小化
- ユーザーアカウントやプロセスに必要最小限の権限のみを付与します。
- 管理者権限の使用を制限し、特定の操作には二要素認証を適用します。
5. セキュリティソフトの導入
- EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)を使用して、エンドポイントでの異常な挙動を検出します。
LOLBASの課題と今後
- 検知の難しさ LOLBASは正規ツールを使用するため、従来のシグネチャベースのアンチウイルスでは検知が難しいです。
- ツールの進化 攻撃者は、新しいツールやスクリプトを悪用するため、LOLBASリストが進化し続けています。
- 管理者の認識不足 システム管理者がLOLBASツールのリスクを認識していない場合、攻撃に対する準備が不十分になります。
まとめ
LOLBAS(Living Off the Land Binaries And Scripts)は、正規ツールを利用した高度な攻撃手法を指し、従来のセキュリティ対策では防御が困難です。防御策として、実行制御やログ監視、ネットワーク制御を徹底し、最小権限の原則を遵守することが重要です。また、セキュリティツールや運用プロセスを最新の状態に保つことで、LOLBASによる攻撃からシステムを守ることが可能になります。組織は、LOLBASに関する知識を深め、継続的な対策を実施することが求められます。
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
関連コラム(あわせて、以下の記事もよく読まれています)
ファイルレスマルウェア攻撃とは?その概要と事例から考える対策方法
ゼロトラスト環境への移行ステップを徹底解説!具体的な対策手順がわかる!
次世代エンドポイントセキュリティNGEPPとは?機能やEDRとの違いについて解説
次世代型アンチウイルスNGAVとは?EDR・DLPとの違いを解説
自動車産業サイバーセキュリティガイドラインの要点
EDRとは?EPPとの違いや機能・必要性を分かりやすく解説
EDRとUTMの違いは何?導入ケースに合わせたメリットも解説!
EDRとアンチウイルスの違いとは?次世代型セキュリティサービスも解説!
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
