C
月内に
現代の攻撃者は、マルウェアではなくPowerShellやCertutilなどの正規の管理ツールを悪用する「Living off the Land…
📌 一言でいうと
現代の攻撃者は、マルウェアではなくPowerShellやCertutilなどの正規の管理ツールを悪用する「Living off the Land (LotL)」手法を多用しています。Bitdefenderの分析では、深刻なインシデントの84%で正規ツールの悪用が確認されました。同社は、組織内のどのユーザーやエンドポイントでこれらのツールが不必要に利用可能かを特定し、攻撃表面を削減するためのアセスメントを提供しています。
🔍該当判定
- Windows PCでPowerShellやコマンドプロンプトを日常的に利用している
- 社内PCでWMICやCertutilなどのシステム管理ツールを制限なく実行できる設定になっている
- 従業員数が250名以上の組織である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 組織内で利用されている正規管理ツールの棚卸しを行い、不要な権限を削除する。2. LotL攻撃を検知するためのEDR/SIEMの監視ルールを最適化する。3. 最小権限の原則に基づき、一般ユーザーから強力な管理ツールの実行権限を剥奪する。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】正規ツール悪用(Living off the Land)への対策について
お疲れさまです。正規ツールの悪用に関する脅威情報の共有です。
■ 概要
攻撃者がPowerShell, WMIC, Certutil, MSBuildなどの正規管理ツールを悪用して攻撃を行う「Living off the Land (LotL)」手法が主流となっており、深刻なインシデントの約84%で確認されています。これらは信頼されたツールであるため、従来のマルウェア検知を回避しやすい傾向にあります。
■ 影響範囲
- Windows OSを導入している全エンドポイント
- 特に管理権限を持つアカウントおよびツールが配布されている環境
■ 対応手順
1. 業務上不要な管理ツール(例: Certutil, MSBuild等)の実行制限を検討する。
2. EDR等のログにおいて、不自然な親プロセスから起動された管理ツールの挙動を監視する。
3. ユーザー権限の最小化を行い、一般ユーザーがこれらのツールを不用意に実行できない設定を適用する。
■ 参考情報
- Bitdefender Internal Attack Surface Assessment
対応優先度: 中
対応期限: 次回セキュリティレビュー時まで
お疲れさまです。正規ツールの悪用に関する脅威情報の共有です。
■ 概要
攻撃者がPowerShell, WMIC, Certutil, MSBuildなどの正規管理ツールを悪用して攻撃を行う「Living off the Land (LotL)」手法が主流となっており、深刻なインシデントの約84%で確認されています。これらは信頼されたツールであるため、従来のマルウェア検知を回避しやすい傾向にあります。
■ 影響範囲
- Windows OSを導入している全エンドポイント
- 特に管理権限を持つアカウントおよびツールが配布されている環境
■ 対応手順
1. 業務上不要な管理ツール(例: Certutil, MSBuild等)の実行制限を検討する。
2. EDR等のログにおいて、不自然な親プロセスから起動された管理ツールの挙動を監視する。
3. ユーザー権限の最小化を行い、一般ユーザーがこれらのツールを不用意に実行できない設定を適用する。
■ 参考情報
- Bitdefender Internal Attack Surface Assessment
対応優先度: 中
対応期限: 次回セキュリティレビュー時まで
Subject: [Info] Mitigating Living off the Land (LotL) Attacks
Hi all,
I am sharing information regarding the abuse of legitimate administrative tools in modern attacks.
■ Overview
Threat actors are increasingly using 'Living off the Land' (LotL) techniques, leveraging trusted utilities such as PowerShell, WMIC, Certutil, and MSBuild to bypass traditional malware detection. Analysis shows that 84% of high-severity incidents involve the abuse of these legitimate tools.
■ Scope
- All Windows endpoints
- Environments where administrative tools are widely available to non-admin users
■ Recommended Actions
1. Audit the use of administrative tools across the organization and restrict those not required for business operations.
2. Optimize EDR/SIEM detection rules to identify anomalous behavior originating from trusted binaries.
3. Enforce the principle of least privilege to limit the execution of powerful utilities for general users.
■ Reference
- Bitdefender Internal Attack Surface Assessment
Priority: Medium
Deadline: Next security review cycle
Hi all,
I am sharing information regarding the abuse of legitimate administrative tools in modern attacks.
■ Overview
Threat actors are increasingly using 'Living off the Land' (LotL) techniques, leveraging trusted utilities such as PowerShell, WMIC, Certutil, and MSBuild to bypass traditional malware detection. Analysis shows that 84% of high-severity incidents involve the abuse of these legitimate tools.
■ Scope
- All Windows endpoints
- Environments where administrative tools are widely available to non-admin users
■ Recommended Actions
1. Audit the use of administrative tools across the organization and restrict those not required for business operations.
2. Optimize EDR/SIEM detection rules to identify anomalous behavior originating from trusted binaries.
3. Enforce the principle of least privilege to limit the execution of powerful utilities for general users.
■ Reference
- Bitdefender Internal Attack Surface Assessment
Priority: Medium
Deadline: Next security review cycle