サイバー攻撃における正規ツールの悪用とは？

サイバー攻撃における正規ツールの悪用は、攻撃者が行う一連のサイバー攻撃で使用されるテクニックの1つで、対策側の監視や調査を回避することを目的とし、持ち込んだ正規ツールの悪用や被害者の環境にあるシステムを悪用する、痕跡を残さない手法を用いる攻撃手法です。

特に、近年注目の集まるLiving Off The Land（LotL：環境寄生型）の攻撃は、マルウェアなどの不正ツールは極力使用せず、侵入環境で使用されているツールや一般に入手可能な商用ツールやオープンソースツール、OSの標準機能などと言った正規ツールを悪用し、ファイルレス活動など自身の活動隠蔽手法を多用する攻撃戦略で、正規ツールの悪用は1つの主要な攻撃手法となっています。LotLの基本的内容や概要は、以下の記事で解説していますので、ご覧ください。

Living Off The Land（LotL：環境寄生型）のサイバー攻撃～
正規ログの中に埋没する侵入者をあぶりだすには？

近年ますます進むサイバー攻撃者の「ステルス化」。多くの攻撃者に使用される「Living Off The Land（環境寄生型）」の攻撃手法が、それを支えています。今回は、なぜ見えづらいのか実態に迫り、どう防ぐべきなのか？についても考察します。
詳しくはこちら→

本稿では、サイバー攻撃で悪用される正規ツール・コマンドにはどのようなものがあるのか？に焦点を当てて解説します。前提として、これから紹介するツール自体はあくまで正規の目的で開発されたものがほとんどであり、サイバー攻撃者により悪用されてしまっているものです。「ツールの存在」そのものというより、「意図的に不正な方法で用いられたものではないか？」という観点でログやテレメトリを分析する際に活用ください。

サイバー攻撃で悪用される正規ツールとは？

下表は、これまでトレンドマイクロが行ったインシデントレスポンスやリサーチ活動で確認した主な正規ツール・コマンドの一覧です。
SecurityGO編集部では、新しく悪用を確認したツールがあれば随時更新してきますので、組織のセキュリティ対策強化やインシデントレスポンス時ご活用ください。また、各ツールの悪用例について詳細情報もリンクしていますので、併せてご確認ください（2024年12月16日現在）。

サイバー攻撃における正規ツールの悪用について、目的別に大別すると以下に分類できます。

・ペネトレーションツール→レッドチーム演習などで用いられるツールを実際の攻撃に転用する（脅威エミュレーション、不審なコマンドの受信等）
・リモートデスクトップ用ツール→侵入先のPCを遠隔から操作する際に悪用する
・システム管理用ツール→セキュリティツールの無効化、内部活動時の悪用（侵入先システムの探索、端末間での遠隔でのプロセス実行）
・クラウドストレージおよび同期用ツール→窃取データの外部送出

ツール（開発元）	正規の想定用途	サイバー攻撃での主な悪用方法
EDRSilencer （オープンソース）	ペネトレーションツール（EDR製品の妨害）	EDR製品の監視プロセスの通信を遮断・監視妨害
TDSSKiller （Kaspersky）	セキュリティツール（ルートキットの削除）	EDRを含むセキュリティ製品のサービスの無効化（EDRKillShifterによる悪用など）
Cobalt Strike （Fortra）	ペネトレーションツール（脅威エミュレーション）	横展開（ラテラルムーブメント）、バックドア、遠隔操作ツール（RAT）としての多数の機能
AnyDesk （AnyDesk Software）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
Atera （Atera Networks）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
TeamViewer （TeamViewer AG）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
Splashtop （SPLASHTOP）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
TightVNC （GlavSoft）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
Remote Utilities （Remote Utilities Pty）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
ScreenConnect （ConnectWise）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
LogMeIn （LogMeIn）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
Supremo （Nanosystems）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
ngrok （ngrok）	遠隔でのデスクトップ操作	ネットワーク上のPCの遠隔操作など
PsExec （Microsoft）	遠隔でのプロセス実行	任意のコマンドシェルの実行、横展開
WMIC（Windows Management Instrumentation Command-line）（Microsoft）	Windows管理	不正なファイルのダウンロード
Mimikatz （オープンソース）	PoCツール（脆弱性の実証）	認証情報の窃取
Process Hacker （オープンソース）	システムリソースの監視、ソフトウェアのデバッグ、不正プログラムの検出	セキュリティ製品などの正規プロセス／サービスの探索と停止
AdFind （オープンソース）	Active Directory（AD）検索	AD探索、横展開時の情報収集
MegaSync （Mega Limited）	クラウドストレージとの同期	窃取データの外部送出
Rclone （オープンソース）	クラウドストレージとの同期	窃取データの外部送出
Google Command and Control（GC2）（Google）	ペネトレーションツール（演習テスト用のC&C機能の提供）	不正なコマンドの受信、窃取データの外部送出（Google Driveの悪用）
Dropbox （Dropbox）	データの保管・共有（オンラインストレージサービス）	窃取データの外部送出
Google Drive （Google）	データの保管・共有（オンラインストレージサービス）	窃取データの外部送出
Amazon S3 （Amazon Web Services）	データの保管・共有（オンラインストレージサービス）	窃取データの外部送出
GoodSync （Siber Systems）	クラウドストレージとの同期	窃取データの外部送出
FreeFileSync （オープンソース）	クラウドストレージとの同期	窃取データの外部送出
WinSCP （オープンソース）	クラウドストレージとの同期	窃取データの外部送出
FileZilla （オープンソース）	クラウドストレージとの同期	窃取データの外部送出
7-Zip （オープンソース）	ファイル圧縮および解凍	窃取データの外部送出

表：サイバー攻撃に悪用される主なツール（トレンドマイクロによる調査）

また以下は、Windowsであれば、最初から搭載されている「スクリプト言語とその実行環境」であるPowerShellに、不正なスクリプトをインプットする際に用いられる主な標準コマンドとプログラムです（ファイルレス攻撃）。Powershellや標準コマンド自体を自組織の環境から除外することは難しいですが、他の不審なテレメトリと日時や環境が近しい箇所で確認されている場合は注意が必要です。

コマンドに使用されるプログラム名	正規の想定用途	サイバー攻撃での主な悪用方法
powershell.exe	Windows PowerShellの実行	Base64の文字列からコマンド複合など
rundll32.exe	DLL内の関数の実行	外部Webサーバからjavascriptを取得
reg.exe	Windowsレジストリの操作	レジストリからクレデンシャル取得
mshta.exe	HTMLアプリケーションの実行	外部Webサーバからスクリプト取得
findstr.exe	ファイル内の文字列を検索	端末の定義ファイル内パスワード取得
certutil.exe	証明書のインストールなどセキュリティ証明書の管理	外部サーバからファイルを取得

表：サイバー攻撃で悪用されやすいWindows標準コマンドの例（トレンドマイクロによる調査）

まとめ

昨今は、標的型攻撃（APT）を行う攻撃者が行う高度な手法のみならず、金銭を目的としたランサムウェア攻撃やサポート詐欺など、様々なサイバー攻撃・犯罪の場面で、正規ツール悪用の攻撃テクニックが用いられることが多くなっています。その背景には、サイバー攻撃者の「防御側の検出を回避したい」という意図のほか、攻撃に関するコストを下げることができるという側面もあるようです。

繰り返しになりますが、今回紹介したツールの存在そのものが不正であるとは言い切れない場面がほとんどですので、

・自社で正規の業務上利用しているツール・サービスなのか？
・ツール・サービスが利用された時間帯が不審ではないか？
・ツール・サービスが利用されたのと近しい時間帯・環境で、不審なテレメトリが確認されていないか？

といった観点で分析を行うことが重要と言えるでしょう。また、サイバー攻撃で悪用されたバイナリやスクリプトについては、インターネット上の有志プロジェクトである「LOLBAS」が情報収集し、公開をしています。こうした情報の参照のほか、実際にサイバー攻撃に対応した際に見つけた正規ツールがあれば、情報共有をすることも有益と言えるでしょう。