LOLBin|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. LOLBin
             

LOLBin

LOLBin(Living Off the Land Binary)は、WindowsやLinuxといったオペレーティングシステムに標準搭載されている正規の実行可能ファイル(バイナリ)が悪意を持つ攻撃者によって悪用されることを指します。これらのバイナリは、本来システム管理やユーザーの利便性向上のために存在していますが、攻撃者がその機能を不正利用することで、セキュリティシステムの検知を回避しながら攻撃を実行します。

LOLBinは、マルウェアを伴わない攻撃や、検知が難しい手法を用いるため、従来のシグネチャベースのセキュリティ対策では防ぐことが難しい点が特徴です。

LOLBinの特徴

1. 正規のバイナリの悪用

攻撃者は、WindowsやLinuxのシステムに標準で含まれる正規のバイナリ(例:powershell.execmd.exe)を使用して、悪意ある操作を実行します。

2. セキュリティ対策の回避

LOLBinは正規のツールを使用するため、アンチウイルスやEDR(Endpoint Detection and Response)などのセキュリティソリューションでは異常として検出されにくいです。

3. 侵害の痕跡が少ない

外部からの不正なファイルを必要とせず、システム内の既存リソースを利用するため、攻撃の痕跡が少なく、フォレンジック調査でも特定が困難です。

4. 多目的な使用

LOLBinは、情報収集、特権昇格、データ窃取、持続的なアクセス(Persistence)など、さまざまな攻撃フェーズで利用されます。

LOLBinに分類される代表的なツール

以下は、攻撃者に悪用される主なLOLBinの例です。

WindowsのLOLBin

  • PowerShell(powershell.exe): スクリプトを実行してマルウェアをダウンロード、実行。
  • CMD(cmd.exe): コマンドラインから攻撃者がシステムを操作。
  • WMI(Windows Management Instrumentation): システム情報の取得やリモート操作。
  • MSHTA(mshta.exe): 悪意あるスクリプトやHTMLアプリケーションを実行。
  • BITSAdmin(bitsadmin.exe): ファイルのダウンロードやアップロード。
  • CertUtil(certutil.exe): 証明書管理ツールだが、悪意あるファイルのエンコード・デコードに悪用。

LinuxのLOLBin

  • Bash: シェルスクリプトの実行やシステム操作。
  • Curl/Wget: 外部リソースのダウンロード。
  • Sudo: 特権昇格攻撃に使用。
  • Netcat: リバースシェルやデータ転送。
  • SSH: リモート接続を利用した攻撃。

LOLBinの利用方法(攻撃の流れ)

  1. 侵入 攻撃者は、フィッシングや脆弱性の悪用を通じて、標的システムにアクセスします。
  2. 情報収集 WMIPowerShellを利用して、システムの詳細情報を取得します。
  3. 権限昇格 SudoCMDを悪用して、システム管理者権限を取得します。
  4. ペイロードのダウンロードと実行 BITSAdminCurlを使用して、外部サーバーから悪意あるスクリプトやツールをダウンロードします。
  5. 持続的なアクセス Task SchedulerRegistryを利用して、バックドアを仕掛け、将来的なアクセスを確保します。
  6. 痕跡の隠蔽 PowerShellCertUtilを用いて、ログやデータを消去します。

LOLBinの防御策

1. 実行制御

  • アプリケーションホワイトリストを導入し、許可されたツールのみが実行されるように制限します(例:MicrosoftのAppLockerやWindows Defender Application Control)。
  • LOLBinが不要な場合、ポリシーで実行を無効化します。

2. ログ監視

  • Windows Event ViewerやSIEM(Security Information and Event Management)を使用して、LOLBinの不審な使用を監視します。
  • 特にPowerShellやWMI、BITSAdminの実行ログを重点的に監視します。

3. ネットワーク制御

  • 外部サーバーへの通信を監視し、不審なリクエストをブロックします。
  • プロキシやファイアウォールを設定して、外部通信のパターンを管理します。

4. 権限の最小化

  • ユーザーやアプリケーションに必要最低限の権限のみを付与します。
  • 管理者権限の使用を最小限に抑え、sudoやPowerShellの使用を制限します。

5. 教育と意識向上

  • ユーザーに対して、フィッシングや社会的エンジニアリング攻撃への対策を教育します。
  • システム管理者にはLOLBinのリスクと検出方法を周知します。

6. セキュリティツールの活用

  • EDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)を導入して、エンドポイントでの異常な行動を検出します。

LOLBinがもたらす影響

  1. 従来型セキュリティの無効化 正規のツールを使用するため、シグネチャベースのセキュリティ対策では検知が難しい。
  2. 攻撃の持続性 LOLBinを活用することで、攻撃者は検出を回避しながら長期間にわたりシステムにアクセスし続けることが可能。
  3. ネットワーク全体へのリスク LOLBinを利用して、横展開(Lateral Movement)やデータの窃取、ランサムウェアの配布が行われる。

まとめ

LOLBin(Living Off the Land Binary)は、正規のシステムツールを利用してサイバー攻撃を実行する高度な手法です。この攻撃は、セキュリティツールの検知を回避し、攻撃の持続性を高めるために使用されます。防御策としては、ツールの使用を制限し、不審なログの監視や権限管理を徹底することが重要です。組織全体でのセキュリティ意識を高め、従来の対策に加えてLOLBin対策を実施することで、この脅威に効果的に対応できます。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。