レポート
クラウドストライク合同会社
なぜ検知できないのか? 攻撃活動の分析で見えた標的型攻撃の戦術と5つの対策
標的型攻撃の検知を困難なものとするために、攻撃者はどのような手法やツールを用いているのだろうか。攻撃活動の分析結果を基に、攻撃者の行動パターンや戦術、使用ツールなどを明らかにするとともに、推奨される5つの対策を紹介する。
コンテンツ情報
公開日 |
2020/07/02 |
フォーマット |
PDF |
種類 |
レポート |
ページ数・視聴時間 |
61ページ |
ファイルサイズ |
1.61MB
|
要約
近年、多くの標的型攻撃が検知を回避する術として、「Living off the Land(LOTL:自給自足)」方式を採用するようになった。攻撃対象のシステムに存在するPowerShellのような正規ツールを利用することから、現地調達型とも呼ばれるこの攻撃は、検知を非常に困難なものとする。
そして、標的とするネットワーク上にツールをデプロイする際には、FTPやSMBを使ったリモートファイルコピーが多く用いられているという。また一般的なペネトレーションテストツールも、攻撃者の間では相変わらずの人気を集めている。これらは、どこにでも存在するため、攻撃者の特定にはつながりにくいという特性がある。
それでは、このような攻撃において具体的にどのようなツールが使われ、どれだけの被害が生じているのだろうか。本資料では、脅威ハンティングの最前線で確認された攻撃活動の分析結果を基に、攻撃者の行動パターンや戦術、使用ツールなどを明らかにするとともに、推奨される5つの対策を紹介する。