これまで私たちは、悪者があなたのデータにアクセスして盗んだり、あなたのネットワークを乗っ取ったりするさまざまな手法について説明してきました。Living Off The Land攻撃も、ハッカーがあなたのコンピュータやその他の接続されたデバイスを乗っ取ることを可能にする方法です。唯一の違いは、Living Off The Land攻撃を使用すると、常にコンピュータにファイルをダウンロードする必要がないことです。侵害は一度発生し、それ以降、コンピュータはウイルス対策ソフトウェアがそのような攻撃を検出できないため、あなたが知らないうちにハッカーのために動作します。
Living Off The Land攻撃とは
Living Off The Landとは、コンピュータにすでに存在するツールを使用して作業することを意味します。そうすることで、マルウェア対策はそれを検出できません。他のケースでは、ハッカーはハッキングしようとしているマシンに継続的にデータを送受信します。しかし、データは外部から来ているため、攻撃を識別して停止できる方法があります。
Living Off The Land攻撃の場合、そのような行動は必要ありません。一旦侵害されると、悪者はあなたのコンピュータ上のツールを使って、誰も気づかない方法で物事を成し遂げます。つまり、ハッカーはあなた自身のコンピュータのツールをあなたに対して使用します。それがLiving Off The Land攻撃と呼ばれるものです。
Living Off The Land攻撃はどのように機能するか
Landという用語は、コンピュータの要素(ソフトウェアとハードウェアの両方)を指します。ハッカーは何も追加でインストールする必要がないため、その名前はLiving Off The Land攻撃です。これらはファイルレス攻撃のカテゴリに分類されます。
この方法の最初のステップは、いくつかのスクリプトを実行してマシンを乗っ取ることです。餌は通常、迷惑メールに添付されています。これらのメールには、1つ以上のVBスクリプトマクロが読み込まれたドキュメントが含まれています。ドキュメント内のマクロウイルスは、誰かがドキュメントを開くとすぐに自動的に実行され、メールが開かれたコンピュータが侵害されます。その後、ハッカーはWindows管理ツールまたはWindowsレジストリの奥深くにあるステルスファイルを使用して、簡単にコンピュータを使用できます。コンピュータには何も新しいものはインストールされていないため、ウイルス対策は異常を見つけることができません。
信頼できる送信元からのものでない限り、ほとんどの人はドキュメントを開きません。そのため、少しのソーシャルエンジニアリングが必要です。悪者は、ドキュメントが安全であるとあなたを納得させて、それらを開かせるだけです。それらには、タイプされたものが含まれている場合と含まれていない場合があります。ドキュメントが開かれると、ファイル内のマクロはハッカーにコンピュータの制御権を与えるスクリプトを実行します。その後、Living-off-the-Landの作業はすべてリモートで行われ、コンピュータに存在するツールを使用します。これらはほとんどがシステムファイルとユーティリティであるため、マルウェアチェックを簡単に通過し、フラグが立てられることはありません。
Living Off The Land攻撃を回避する方法
Living Off The Land攻撃を回避するためにできる最善のことは、知らない人からのドキュメントを開かないことです。開く必要がある場合は、ドキュメントの拡張子が.dotmではないことを確認してください。docm拡張子のファイルはマクロが有効なドキュメントです。
場合によっては、ハッカーはマクロを実行してマシンを乗っ取る代わりに、デスクトップにアイコンを配置します。コンピュータのデスクトップに新しいアイコンが表示された場合は、それをクリックして実行しないでください。代わりに、それを右クリックして、それがリンクされているフォルダ内のファイルを表示するように選択します。ターゲットがアイコン(.LNKファイル)で指定されているファイル以外の場合は、アイコンとターゲットファイルを削除します。信憑性が疑わしい場合は、インターネットで.LNKのターゲットファイルを検索して確認できます。
まとめ
Living Off The Land攻撃は、ハッカーがレジストリの奥深くやマルウェア対策ソフトウェアが届かない場所にファイルを隠すため、簡単には見つかりません。メールの添付ファイルを開かないことで、このような攻撃を回避できます。ターゲットファイルを安全に確認せずに、新しいアイコンファイル(.LNKファイル)をクリックしないでください。Living Off The Land攻撃は、マルウェア用の通常のツールでは攻撃と認識できないため、検出が困難です。
上記はLiving Off The Land攻撃を説明し、安全を保つ方法を説明しています。追加することがあれば、喜んでお聞きします。
コメントする