LOLBAS|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LOLBAS
             

LOLBAS

LOLBAS(Living Off the Land Binaries And Scripts)は、Windows環境において、正規のバイナリやスクリプトを攻撃目的で悪用する手法、またはその手法で使われる正規ツールのリストを指します。LOLBASは、セキュリティ検知を回避するために、システムに標準搭載されている信頼されたツールを使用する点が特徴です。

「LOLBAS」という言葉は、Living Off the Land Binaries(LOLBin)の拡張版として、正規バイナリだけでなくスクリプトやライブラリを含めたものを表しています。この手法は、専用マルウェアを使用しないため、伝統的なシグネチャベースのセキュリティ対策では検出が難しいことが多いです。

LOLBASの特徴

1. 正規ツールの悪用

攻撃者はWindowsに標準搭載されているツール(例: cmd.exepowershell.exe)やスクリプト(例: vbscript)を悪用して攻撃を実行します。

2. セキュリティの回避

LOLBASの手法では、正規ツールを使用するため、セキュリティツールが異常を検知しにくいです。これにより、攻撃者は長期間にわたりシステム内に潜伏できます。

3. 侵入の痕跡が少ない

専用マルウェアや外部リソースを使用せず、システム内の既存のリソースを利用するため、フォレンジック調査でも痕跡が見つかりにくいです。

4. 多目的な活用

LOLBASツールは、侵入、横展開(Lateral Movement)、データ窃取、持続性の維持(Persistence)など、さまざまな攻撃フェーズで活用されます。

主なLOLBASツールの例

以下は、LOLBASとして一般的に使用される正規ツールやスクリプトの一部です。

1. Windowsのバイナリ

  • PowerShell(powershell.exe)
    スクリプトの実行、マルウェアのダウンロード、リモート操作。
  • CMD(cmd.exe)
    コマンドラインインターフェースでシステム操作。
  • CertUtil(certutil.exe)
    証明書管理ツールを使用したファイルのエンコード・デコード。
  • MSHTA(mshta.exe)
    HTMLアプリケーションを実行して悪意のあるコードを起動。
  • Rundll32(rundll32.exe)
    DLLファイルを実行して任意のコードを実行。

2. Windowsスクリプト

  • VBScript
    スクリプトを利用してシステム操作や悪意あるコードの実行。
  • JScript
    Webブラウザ環境で悪意あるスクリプトを実行。

3. 管理ツール

  • WMI(Windows Management Instrumentation)
    システム情報の収集やリモート操作。
  • Task Scheduler(schtasks.exe)
    定期的なタスクを設定して持続的な攻撃を実行。

LOLBASの活用例(攻撃シナリオ)

1. 初期侵入

攻撃者は、フィッシングメールや不正なリンクを利用して、標的システムに侵入します。

2. 情報収集

PowerShellWMIを使用して、システム構成やネットワーク情報を収集します。

3. 権限昇格

RunAsTask Schedulerを悪用して管理者権限を取得します。

4. 横展開

PsExecWMIを使用して、ネットワーク内の他のシステムにアクセスします。

5. データ窃取

CertUtilPowerShellを使用して、データを外部サーバーにアップロードします。

6. 持続性の維持

Task Schedulerやレジストリの自動起動設定を使用して、バックドアを維持します。

LOLBASに対する防御策

1. 実行制御

  • アプリケーションホワイトリスト: AppLockerやWindows Defender Application Controlを利用して、許可されたツールだけを実行可能にします。
  • 不要なツール(例: mshta.exerundll32.exe)を無効化。

2. ログの監視

  • Windows Event ViewerやSIEM(Security Information and Event Management)を使用して、LOLBinやスクリプトの異常な実行を監視します。
  • 特にPowerShellWMIの使用ログを重点的にチェック。

3. ネットワークの制御

  • ファイアウォールを設定して、不審な外部通信を制限します。
  • プロキシやDNS監視を使用して、悪意ある通信先を特定。

4. 権限の最小化

  • ユーザーアカウントやプロセスに必要最小限の権限のみを付与します。
  • 管理者権限の使用を制限し、特定の操作には二要素認証を適用します。

5. セキュリティソフトの導入

  • EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)を使用して、エンドポイントでの異常な挙動を検出します。

LOLBASの課題と今後

  1. 検知の難しさ LOLBASは正規ツールを使用するため、従来のシグネチャベースのアンチウイルスでは検知が難しいです。
  2. ツールの進化 攻撃者は、新しいツールやスクリプトを悪用するため、LOLBASリストが進化し続けています。
  3. 管理者の認識不足 システム管理者がLOLBASツールのリスクを認識していない場合、攻撃に対する準備が不十分になります。

まとめ

LOLBAS(Living Off the Land Binaries And Scripts)は、正規ツールを利用した高度な攻撃手法を指し、従来のセキュリティ対策では防御が困難です。防御策として、実行制御やログ監視、ネットワーク制御を徹底し、最小権限の原則を遵守することが重要です。また、セキュリティツールや運用プロセスを最新の状態に保つことで、LOLBASによる攻撃からシステムを守ることが可能になります。組織は、LOLBASに関する知識を深め、継続的な対策を実施することが求められます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。