【検知回避・痕跡消去編】EDR Bypass／ログ消去／LOLBinsの発想と防御｜CTF思考フレームワーク #40

こんにちは、アンペンです！

前回は、攻撃者が再起動後も生き残るために仕込む永続化を扱いました。

今回は、攻撃者が痕跡を残さずに動こうとする検知回避・痕跡消去(Defense Evasion)を見ていきます。EDR Bypass・ログ消去・LOLBinsの発想と、それを見破る守り方を学びましょう。

侵入したあと、見つからないように動くの？

そう。EDRを無効化したり、ログを消したり、正規ツールを悪用したりして、目立たないように動くんだ。

侵入後フェーズの締めくくりは、攻撃者の“隠れる技術”——検知回避です。せっかく侵入しても、すぐ見つかって追い出されたら意味がない。だから腕のいい攻撃者は、見張り（EDRやログ）の目をかいくぐりながら、静かに動きます。守る側にとっては『見えていないだけで、いるかもしれない』という、ちょっと怖い前提が必要になる回。今日は防犯カメラを目隠しされるたとえで見ていきます。

攻撃者は『検知の弱点』を狙う

守る側は、EDR・ログ・SIEMといった『見張り』を置きます。攻撃者はこの見張りを『無効化』『盲点利用』『記録抹消』のいずれか、または組み合わせで突破しようとします。

共通する考え方は『正規の運用と見分けがつかない動きを選ぶ』こと。これがLiving Off the Land(LOL)の発想です。

『Living Off the Land（LOL）』は、直訳すると“その土地のもので生きる”。攻撃のために怪しい道具を持ち込むのではなく、“もとからそこにある正規のツール”だけで悪さをこなす、という発想です。新しいマルウェアを置けば、それ自体が検知のきっかけになる。でも、OSに最初から入っている正規コマンドを使えば、見張りは「いつもの業務だな」と素通りしやすい。“現地調達”でツールの持ち込みを避ける——これが現代の攻撃者の主流になっています。

攻撃者が見張りをかわす方法は、大きく3つの方向に分かれます。『見張りを止める（EDRを無効化する）』『正規の動きに紛れる（普通の業務に見せる）』『記録を消す（ログを削除する）』。カメラでいえば、電源を切る・正規業者のふりをする・録画を消す、の3つ。どれか単独でも、組み合わせても使われます。守る側は、この3方向それぞれに手当てが要る、というわけです。

図解：通常の検知 vs 回避された状態

通常はEDRやログが攻撃を捕捉しますが、回避が成立すると見える範囲がぐっと狭くなります。

なぜLOLBinsが厄介かというと、“悪者リスト”では捕まえられないからです。ウイルス対策の基本は『既知の悪いファイルを見つけて止める』。でも certutil や powershell は、OS純正の“善良な”ツール。悪者リストには載りません。問題は“何を使ったか”ではなく“どう使ったか”です。だから守りも、「そのツールが存在するか」ではなく「そのツールが普段しない動きをしていないか」を見る方向へ——道具ではなく振る舞いを見る、という発想転換が必要になります。

検知回避の代表3手口

検知回避の代表的な手口は3つ。『見張り役（EDR）を無効化する』『記録（ログ）を消す』『正規ツールで紛れる（LOLBins）』。最初の2つは“消す・止める”、3つ目は“溶け込む”。守る側は、この3つそれぞれに「止められたら気づく」「消されても残る」「紛れても見抜く」の備えを用意していきます。

よくある回避パターン

• EDR/AV Bypass：AMSIパッチ、直接Syscall、フックの上書き等で監視を無効化
• ログ消去：Windows Event Log の wevtutil cl、Linux の ~/.bash_history 削除、syslog改ざん
• LOLBins利用：正規バイナリで通信・ダウンロード・実行を行い、振る舞いを正規業務に紛れ込ませる

近年は、EDRそのものに攻撃する手口が増えています。守る側はEDRを置くだけでなく、『EDRが動いているか』『ログが転送されているか』を継続監視することが重要です。

ここで一つ、大事な発想を。見張り（EDR）を置いたら、その“見張りが生きているか”も見張る必要があるんです。攻撃者が真っ先にやるのは、まさにこのEDRの無効化。だから「EDRが急に停止した」「ログがピタッと止まった」——その“沈黙”自体を異常として捉える。番犬が吠えなくなったら、平和ではなく“番犬がやられた”のかもしれない、と疑う。検知回避の時代の守りは、こういう逆転の発想がカギになります。

練習は、自分の環境で『記録がちゃんと“外”に出ているか』を点検すること。ログがそのPCの中だけに溜まっていると、攻撃者に消されたら終わりです。SIEMやログサーバへリアルタイムに転送されているか、転送先は書き換えられない状態か——攻撃ではなく、記録の“逃げ道”の確認ですね。もちろん本番でEDR停止やログ削除を試すのは厳禁です。

CTFでやってみよう：ログ転送と監視を点検

守りの一丁目一番地、『ログを外へ逃がす』を会話で押さえましょう。

ログはそのサーバに残してるけど、それじゃダメなの？

それが一番危ないんだ。考えてみて——攻撃者がそのサーバを乗っ取ったら、同じサーバにあるログだって自由に消せる。証拠と現場が同じ場所にあるんだからね。だから、記録が生まれた瞬間に、書き換えのできない“別の金庫（外部のログサーバ）”へ送ってしまう。そうすれば、たとえ現場で証拠を消されても、金庫の中には残る。『記録は、現場ではなく金庫に置く』——これが痕跡消去への一番効く備えだよ。

守る側なら、「外部転送+振る舞い検知+LOLBins監視」

検知回避の守りは、「ログを書き換えられない場所に逃がす」「振る舞いベースで検知する」「LOLBins利用を異常として扱う」の3点が中心です。

『ログを外に逃がす』だけで、痕跡消しが効きにくくなるんだね。

そう。ログは現場ではなく『安全な金庫』に移すのが基本。振る舞い検知と組み合わせると相当強くなる。

ここまでをひと言で言うと、検知回避への守りは『記録は外へ、判断は振る舞いで』。ログは消される前提で外の金庫へ逃がし、検知は“悪いファイル探し”から“おかしな動き探し”へ切り替える。そして、見張り自身の沈黙も異常として扱う。攻撃者が“消す・紛れる”名人である以上、守る側も“消されても残る・紛れても気づく”仕組みで応じるんです。

まとめ：『記録は外へ、振る舞いで見る』

今日の持ち帰りは『沈黙を、平和と勘違いしない』です。検知回避がうまくいくと、ログもアラートも“きれいなまま”になります。でも、その静けさは、安全の証ではなく“見えなくされた”サインかもしれない。だからこそ、記録を外へ逃がし、振る舞いで見て、見張りの停止すら異常と捉える。「何も起きていない」を鵜呑みにしない目が、侵入後の最後の砦になります。

ここで侵入後フェーズ(#36〜#40)はひと区切りです。次章では『侵入後の調査』、つまりForensics(フォレンジック)に入っていきます。最初は4領域(ディスク・メモリ・ネット・ログ)の地図から見ていきましょう。

次に読みたい記事

参考資料