Penteraは8月3日(米国時間)、「The LOL Isn’t So Funny When It Bites You in the BAS - Pentera」において、環境寄生型攻撃(LOLBAS: Living Off The Land Binaries and Scripts)に使用できる新しい12のバイナリの発見とその手法を伝えた。
-
The LOL Isn’t So Funny When It Bites You in the BAS - Pentera
環境寄生型攻撃はシステムに標準でインストールされているバイナリ、スクリプト、ライブラリを悪用し、マルウェアのダウンロードおよびコードの実行を行う攻撃手法のこと。これらバイナリ、スクリプト、ライブラリの一覧は、LOLBASプロジェクトにおいて登録、公開されており、今回Penteraが発見した新しいバイナリのいくつかはすでに登録されている。
Penteraが公開したバイナリ検出の手法は比較的単純という特徴がある。ダウンローダの検出手法はすべてのバイナリに対してローカルWebサーバ向けのURLを引数で与え、ローカルWebサーバにアクセスがあるかどうか判定する。コード実行の検出手法は、すべてのバイナリに対し、いくつかの標準的なオプション形式ですべてのアルファベットを順次試しながら検出用プログラムのパスを与えるものとされている。
これら手法は単純で不確実だが、自動化が可能で短時間に大量のテストを実行できる利点がある。実際に3000を超えるバイナリに対して試験を行い、新しく12ものバイナリを見つけることに成功している点は評価できる。ただし、この手法は試験中に何が起きるかわからないという問題があり、同様の試験を試みる場合は外部から切断されたネットワーク環境もしくはスタンドアロン環境で実行することが望まれる。
LOLBASプロジェクトに登録されている一覧は特定の条件を満たしたものだけであり、一般的なユーザー環境に存在するすべてのバイナリを対象とはしていない。よって、本格的に対策を行うには管理者自ら検出作業を行う必要がある。Penteraの公開した手法はこの作業に貢献するものであり、これが将来のリスク軽減につながることが期待される。
