Appleシステムにおける「living-off-the-land」(LOTL)技術を検証する新しい調査によると、ネイティブmacOS機能の増加する範囲が攻撃者によって再利用され、コード実行、横展開、検出回避に使用されています。
4月21日に発表されたCisco Talos脅威調査は、リモートアプリケーションスクリプティング(RAS)やSpotlightメタデータなどの組み込みツールが従来のセキュリティコントロールをバイパスするために悪用される可能性があることを示しています。
45%以上の組織が現在エンタープライズ環境でmacOSを使用しており、これはプラットフォームが高価値ターゲットになったことを意味します。Macは開発者およびDevOps専門家によって広く使用されており、機密認証情報、クラウドアクセス、ソースコードを保持することがよくあります。
このシフトにもかかわらず、macOSに焦点を当てた攻撃技術は、Windowsを対象とした技術よりも文書化が少ないままです。この調査は、特に攻撃者がマルウェアではなく正当なシステムバイナリとプロトコルに依存する可能性のある、可視性と検出の両方のギャップを特定しています。
実行用に再利用されるネイティブ機能
本来は管理オートメーション用に設計されたRASは、リモートシステムでコマンドを実行するために兵器化できると、Cisco Talosは説明しています。Appleのプロセス間通信(IPC)フレームワークを活用することで、攻撃者は従来のシェルベースの監視をトリガーせずに指示を発行できます。
場合によっては、攻撃者は実行のプロキシとしてターミナルを使用し、ペイロードをBase64でエンコードし、段階的に展開することで、組み込みの制限をバイパスします。これにより、標準的なコマンドライン活動に関連する検出を回避しながら、複雑なスクリプトを実行できます。
他の技術はRASを超えています。AppleScriptはSSH経由で実行してグラフィカルユーザーインターフェイスと対話できますが、socatなどのツールはSSHログ認証トレイルに依存しないでリモートシェルを有効にできます。
macOSセキュリティ脅威について詳しく読む:Atomic Stealer MacOS ClickFix攻撃がAppleセキュリティ警告をバイパス
セキュリティチームはこれらの動作への可視性の制限のため、追加の課題に直面しています。Apple Eventsまたはプロセス間通信を通じて実行されたアクションは、従来のエンドポイント検出ルールの外に落ちることがよくあります。
秘密のデータ移動と永続性
攻撃者はペイロードの転送と保存に非従来的な方法も使用しています。一つのアプローチは、ファイルコンテンツではなくSpotlightメタデータとして保存されているFinderコメントに悪意のあるコードを埋め込むことを含みます。
この技術により、ペイロードはファイルをスキャンして悪意のあるコードを検出する静的分析ツールを回避できます。データは後で単一のコマンドで抽出、デコード、実行できます。
この調査はまた、横展開とファイル転送に使用できる複数のネイティブプロトコルも強調しています:
-
リモート共有をマウントするためのServer Message Block(SMB)
-
直接コマンド実行とファイル配信のためのNetcat
-
ターゲットシステムにペイロードをプッシュするためのGitリポジトリ
-
秘密のデータ交換のための簡易ファイル転送プロトコル(TFTP)および簡易ネットワーク管理プロトコル(SNMP)
これらの方法は正当なサービスに依存しているため、SSHまたは既知の悪意のあるトラフィックパターンに焦点を当てたネットワーク監視をしばしばバイパスします。
防御的な推奨事項には、検出戦略をプロセス系統分析にシフトし、異常なメタデータアクティビティを監視し、モバイルデバイス管理(MDM)ポリシーを通じて管理サービスを制限することが含まれます。
不要なサービスを無効にし、アプリケーション間通信に対するより厳格なコントロールを適用することで、エクスポーズを減らすこともできます。
翻訳元: https://www.infosecurity-magazine.com/news/macos-lotl-techniques-enterprise/
