こんにちは、Diogenes です。
もはや昨年の話ですが、「環境寄生型攻撃」という言葉が話題になりました。
河野デジタル相(当時)が、2024年8月27日に、オーストラリア・米国・韓国などとの情報連携の元、このタイプの攻撃に対する注意喚起を行い、重要インフラ事業者等に確認を求めたなどのことが関連しているでしょう。
今回は、この環境寄生型攻撃、(英語ではLiving off the land (LOLT)攻撃や、Living off the land Binaries and Scripts(LOLBAS/LOLBin)と呼ばれ、用語としては以前からあったもの)と称される攻撃について、改めて整理し、有効な対策を紹介してみたいと思います。
(1)環境寄生型攻撃とは何か?
このタイプの攻撃を理解するには、まず攻撃者グループの意図と合わせて考える事が大切です。
こうした攻撃の背後には、国家の支援を受けるハッカー集団が存在することが多いとされていますが、攻撃者グループにとって検知されずに環境に寄生し続けることを重視するのは、何らかの有事の時に、もっとも効果的なタイミングで「引き金をひく」ためと考えられています。
とても潜伏期間の長い病原菌があり、潜伏期間中も感染を広げる能力を持っていて、更に大事な昇格試験の前日など、常にその人にとって最悪のタイミングで発病する、という病原菌を連想すればその恐ろしさが伝わるでしょうか。
ロシアがウクライナ領内に軍事侵攻を開始する直前に、軍と政府の連絡を担う衛星通信網システムがサイバー攻撃によって破壊されていたとの報道が思い起こされます。
環境寄生型攻撃(LOLT/LOLBAS)とは、ターゲットシステムに「初期侵入」を果たした後は、「既にそこにあるツール群」を主として用い、「活動遂行」する様式を指します。
ここで、「初期侵入」とは、メールで送り込んだ不正添付ファイルを開封させることでマルウェアの拠点を築いたり、インターネットに外接しているVPN機器に外部から侵入したりするなどのことを指します。
では、「活動遂行」とは具体的に何でしょうか。それは、もっとも効果的なタイミングで「引き金をひく」ことができるように下ごしらえをしておくことだと考えられます。これは技術的に捉えれば、システム内のできるだけ高い特権、広い特権の奪取です。Windows ADネットワークならば、それはDomain Administrators 権限を持つアカウントの奪取を意味します。
環境寄生型攻撃を行うグループの代表例とされるVoltTyphoonサイバー攻撃グループの攻撃キャンペーンでは、NTDSファイル(注1)の奪取が確認されたとされていますが、正にこの活動が行われた事を示唆しています。
情報窃取やシステム停止は、奪取した権限の行使の方向性の例にすぎず、特権の奪取自体が、本質的な攻撃者目的であり、いわば「任意タイマー付き爆弾設置完了」、ひとつの任務完了なのです。
典型的なWindowsネットワークを想定して、冒頭の環境寄生型攻撃とは何かという問いに応えましょう。環境寄生型攻撃とは、「既にそこにあるツール群」、たとえばpowershell・wmic・psexec などの管理ツール群を主として利用し、できるだけ沢山の権限、特権の奪取を目指す活動、簡単にいうとこれが環境寄生型攻撃(LOLT/LOLBAS)の中身です。
(注1):ドメイン環境内の全アカウントのパスワードハッシュ値が記載されたファイル。ドメインコントローラ上にあり、アクセスにはドメイン管理者権限が必要とされる。つまりその時点で既に負けであり、NTDSファイルの奪取というよりも、ドメイン管理者権限の奪取に着目すべきともいえる。
(2)推奨されている「確認」とは?
デジタル相が求めた、「確認」とは具体的には何を意味するでしょうか。
会見の5日前、「イベントログと脅威検知のためのベストプラクティス」という文書が、内閣官房 内閣サイバーセキュリティセンターから案内されています。(注2)
この文書の案内するプラクティスへの対応を確認し、「環境寄生型攻撃が行われた場合、早期検知できるようにせよ」という趣旨と考えるのが自然でしょう。
しかし、環境寄生型攻撃をログ情報等から検知することは、非常に高い要求です。
「そこにあるツール群」が主として使われる環境寄生型攻撃は、通常運用/通常保守と、攻撃者の活動が似たようなログとして、大量に出力されるということを意味します。
分かりやすい例をあげると、「通常とは異なるスクリプトの実行」のログ(への注目)が、文書では例示されています。
しかしあなたの組織では、すべてのスクリプト実行がロギングされ、どのような目的であるか整理された一覧表があるでしょうか?
またこのレベルのサイバー攻撃者グループは、悪意あるスクリプトもその一覧表にありそうなファイル名に変更して実行する位の注意は払うでしょう。果たして、実施時刻や実施機器のみから通常運用範囲の実行か、または何らかの攻撃であるか、区別ができるでしょうか?
これを見分けるには、日ごろから大規模なログ統合管理システムを、サイバー攻撃手法に関する一定の知識を元に、既にSOCにて運用していて、統計情報等で日常運用を把握している組織でなければ、そもそも異常に気付くことなどできないと思います。日本の多くの組織は、その前段階にあるのが現実ではないでしょうか。
ロギングには、有事の際のために情報を残しておき、後付けで分析した後に Threat Hunting(注3)のための情報として諸外国にも提供できるようにしておくという意味も、確かにあるでしょう。情報は、出す人のところに集まります。
しかし、多くの組織にとって、まずは防御策を知りたいというのが本音ではないでしょうか。
注2:オーストラリアが主体となって作成し、日本を含む九か国が署名した、環境寄生型攻撃を検知するためのログ取得・分析着目点ガイド。ITだけでなく、OTシステムも適用対象としている。(Provisional_Translation_JP_ASD_LOTL_Guidance.pdf)
注3:Threat Huntingとは、何らかのIoC情報等(特定のサイバー攻撃グループに特徴的な、IPアドレスや残されるファイル等の情報)を明らかにし、他の組織において同様の被害がないか能動的に確認すること、そしてあれば対処し攻撃者を追い出すことを指す。
(3)有効な具体的防御策は?
私たちは、これまで環境寄生型攻撃を数々の組織に仕掛け、成功させてきました。
申し遅れました。私は、「オフェンシブペンテストグループ」に所属しており、このような攻撃を疑似的に実施するサービスに携わっています。
LOLBASの手法というのはそれほど新しいものではありません。APT攻撃という言葉が流行した2018年頃には、既にそうした傾向はありました。このため、当社ではサービス立ち上げ当初からその手法を意識しています。
そんな私たちだからこそ分かる、間違いのない効果を実感している具体的な対策群は、下記の通りです。特別なものはありません、しかし、それらを徹底できている組織は、存在しないか、ごく僅かなままです。
是非参考にしてください。
・パスワードポリシの強化
パスワードポリシを強化し、安易なパスワードを設定できないようにすることは、即効性・防御レベル共に優れる、鉄板対策です。しかしながら、これを個々のユーザ、個々のシステムに徹底できている組織は未だに殆どありません。
かつてよくあった8文字パスワードというのは、今では最悪に近い事例です。突破されるのは時間の問題でしょう。また、パスワードがどんなに長くても、平文で誰でも見れるファイルに記載してあっては意味がありません。管理用バッチファイルへの記載など、そのような事例は後を絶ちません。
・権限管理の細分化
一般権限でできないことだから、管理者権限、例えばDomain Adminsで実施する―。
これは大きな間違いです。Windowsネットワークにおいては、一度行使した権限はその痕跡が残ることが多く、攻撃者に奪取されやすくなります。
標準PCのキッティングに用いるアカウント、リモートサポートに用いるアカウント、これらは全て、最高権限である必要はありません。
それ用の管理アカウントを作り、目的達成のための最小の権限を付ける、つまり権限管理を細分化すれば良いのです。
・EDRの導入と意味のある監視運用
検知に関しては、現状でもっとも現実味がある方法はEDRの導入だと思います。
ただし、導入しただけでは意味がありません。環境寄生型攻撃の検知にあたっては、「EDRだけでは判断が難しいもの」こそ重要です。
この意味で、「監視ベンダ任せ」ではないアラート消込み運用がどれだけ確立できているかがポイントです。
・VPN機器のパッチ管理運用の強化
多くの企業において、パッチ適用サイクルは一カ月か、早くて2週間というところではないでしょうか。しかしながら、インターネットに面するVPN機器に対して、これでは遅すぎます。
セキュリティ情報を主体的にキャッチし続け、必要なパッチは即時適用できるような体制と運用が必要です。
「保守サービスに入っているから、定期的にあたるはず」というレベルでは、狙われているVPN機器は守れません。
・VPNアクセスの二要素認証化
インターネット側からログインが成立するVPNアクセスは、攻撃者にとって大きな魅力です。LOLBASの目的(検知を避ける)からすると、何らかの手段で入手した正規ID/PWDでVPNにログインすることが理想的なアクセス手段です。
これに対しては、二要素認証の導入が有効です。「二要素認証も完璧ではない」という情報が出ると注目を浴びるということもあり、混乱することがあるかもしれませんが、私たち専門家から見て、二要素認証がある場合とない場合では、そもそもセキュリティレベルに雲泥の差があることには間違いありません。(ただし、セッションそのものを奪われる事に対しては無力です)
如何でしたでしょうか。
「そんなことか、よしすぐやろう!」と思えた方は、それを確実に実施して頂ければ、環境寄生型攻撃に対しても、かなり強固なシステムが実現できると思います。二要素認証等、技術的に実施できるものだけ実施するというのでも一定の効果はあるでしょう。
一方、「そうは言ってもなあ、一朝一夕の改善ができるものではない」とお感じの方も多いのではないでしょうか。実際、「権限管理を見直せ!」と指示したとしても、「見直しました、特に問題ありませんでした」という返事しか、現場からは返って来ないでしょう。
LOLBASは、正規管理ツール等を用いるのですから、技術設計というよりは個々の利用者の、保守管理者の、運用の油断を突くことが多くなる側面があります。
それは、自ら是正することはおろか、自ら把握することすら難しいものです。
そんな時は、是非ペネトレーションテストの実施をご検討ください。
LOLBASを取り入れたペネトレーションテストによって、そうした弱点を効率的にあぶりだすことができます。
