Malware から Microsoft LOLBin へ:2024年上半期の脅威データを分析 – Sophos

2024 Sees Sharp Increase in Microsoft Tool Exploits

2024/12/13 InfoSecurity — 最新の Sophos Active Adversary Report が示すのは、脅威アクターによる正規の Microsoft ツールの悪用が、2023 年と 2024 年上半期の比較において、51% も増加していることだ。2024 年上半期に分析された 190 件のサイバー・インシデントにおいて、187 件で Microsoft 製品を用いる、Living Off the Land Binaries (LOLbins) が観測された。そのうちの 64 件は、Sophos データセットに1回だけ出現していたと、研究者たちは述べている。

LOLbins とは、正当なバイナリの悪用のことであり、それらには、すでにマシン上に存在するものもあれば、正規のソースからダウンロードされるものもある。さらに言うと、それらは署名されており、無害な方法で使用される場合には、システム管理者の視野に入りにくいとされる。

2024 年上半期に攻撃者が使用した、最も一般的な Microsoft LOLbins は、RDP の 89% である。それに続いて、cmd.exe (76%)、PowerShell (71%)、net.exe (58%) の順となる。

Sophos の Field CTO である John Shier は、Microsoft LOLbins の悪用率が証明するのは、攻撃者がネットワーク上でステルス性を獲得する際に、それが、効果的な方法になることだ。

Shier の説明は、「正当なツールの悪用に成功しても、防御側に気づかれて、警告を出される可能性があるが、Microsoft バイナリを悪用しても、逆の結果になることが多い。悪用される Microsoft ツールの多くは、Windows にとって不可欠であり、正当な用途で使われるものだ。しかし、自分の環境において、それらが使用される方法を理解し、何をもって悪用と判断するのかは、システム管理者の責任となる」というものだ。

また、Sophos レポートでは、2023 年と 2024年上半期の比較において、標的システムにおける悪意のアーティファクトが、205 件から 230 件へと 12% ほど増加していることも判明した。ここで言うアーティファクトとは、システムに攻撃者が不正に持ち込んだ、mimikatz/Cobalt Strike/AnyDesk などのサードパーティ・パッケージである。

Unique artifacts and LOLbins abused by attackers from 2021 to H1 2024. Source: Sophos
Unique artifacts and LOLbins abused by attackers from 2021 to H1 2024. Source: Sophos
主要なランサムウェア・オペレーターは依然として LockBit

Sophos レポートによると、2024 年上半期の主要なランサムウェアは LockBit であり、追跡されたインシデントの 21% を占めている。2024年2月の Operation Cronos は、法執行機関による RaaS 停止の成功例であったが、2023年の LockBitインシデントは 22% であるため、僅か1% が減少したことになる。

研究者たちは、「帰属に関して言えば、ランサムウェアに対する大々的な破壊と、チャート上の存在感の低下との相関関係は、それほど強いものではない」と指摘している。LockBit に続く、活発だったランサムウェア系統は、Akira (9%)/Faust (7.5%)/Qilin (6%) の順であった。

Sophos の指摘によると、2023年と 2024年上半期の比較において、ランサムウェア感染は全体的に減少している。2023年において、同社が扱ったインシデント・ケースでは、70% がランサムウェア関連であったが、2024年上半期は 61.5% に低下している。

ただし、2024年の数字を通年で分析すると、それほどの減少にはいたらないと、同社は予想している。

侵害済み認証情報の悪用は減っている?

侵害済の認証情報の悪用は、2024年上半期において、最も一般的な原因であり、39% のケースで特定された。ただし、2023年の 56% と比較すると、大きく減少している。

また、2024 年上半期の2番目は脆弱性の悪用であり、インシデントの 30.5% を占めている。2023年の数字は 16.2% であるため、ほぼ2倍の増加となる。3番目に関しては、ブルートフォース攻撃の 18.4% だった。

このブログに掲載する記事を選ぶときには分かりませんが、訳してみて LOLBin だと気づくことが結構ありました。なんらかのイニシャル・アクセスを得て、なんらかのマルウェアを動かし、LOLBin による C2 通信まで到達する攻撃者が、かなりの比率に達していると予想していましが、この Sophos のレポートは驚きでした。よろしければ、カテゴリ LOLBin と併せて、ご参照ください。