detecting-living-off-the-land-with-lolbas

detecting-living-off-the-land-with-lolbas skill の概要

この skill でできること

detecting-living-off-the-land-with-lolbas skill は、プロセスのテレメトリ、親子プロセスの文脈、Sigma 風の検知ロジックを使って、certutil.exe、regsvr32.exe、mshta.exe、rundll32.exe などの LOLBAS/LOLBins の悪用を検知するのに役立ちます。LOLBin をざっくり説明するだけの一般論ではなく、ハンティング、トリアージ、ルール作成にそのまま使える実践的な detecting-living-off-the-land-with-lolbas ガイドが必要なときに特に有用です。

どんな人に向いているか

Sysmon や Windows イベントログを扱う SOC アナリスト、脅威ハンター、検知エンジニア、ブルーチーム担当者に適しています。また、社内環境で一般的な Windows ユーティリティがどのように悪用され得るかを整理したい detecting-living-off-the-land-with-lolbas for Threat Modeling にも向いています。

何が違うのか

この repo は単なる文章の概要ではありません。検知アイデア、参照シグネチャ、小さな補助スクリプトを組み合わせて、作業の土台を作っています。曖昧な不審プロセスの動きを、推測を減らしながら具体的な検知パターンや調査手順へ落とし込めるのが主な価値です。

detecting-living-off-the-land-with-lolbas skill の使い方

skill をインストールする

この repo には、ディレクトリ標準のインストール手順を使います: npx skills add mukul975/Anthropic-Cybersecurity-Skills --skill detecting-living-off-the-land-with-lolbas。すでに親の skills repo を持っている場合は、skills/detecting-living-off-the-land-with-lolbas パスを参照して、支援ファイルを直接確認できるようにしてください。

まずはシグナルの高いファイルから読む

最初に SKILL.md を読み、その後 references/api-reference.md で具体的なイベント例と Sigma 例を確認し、scripts/agent.py で実装されている検知ヒューリスティックを見てください。この 3 ファイルを見るだけでも、detecting-living-off-the-land-with-lolbas skill が自分のデータソースや検知スタックに合うかどうかを、ざっと流し読むより早く判断できます。

曖昧な依頼を実用的な prompt に変える

良い入力には、テレメトリのソース、不審なバイナリ、そして欲しい結果を含めます。たとえば、「Sysmon Event ID 1 の mshta.exe が Office から起動された事例を分析し、LOLBAS 悪用の指標を特定して、detecting-living-off-the-land-with-lolbas usage 向けの Sigma 風条件を作成してほしい」といった形です。これなら「マルウェアを探して」とだけ言うよりずっと強く、対象プロセス、親プロセスの文脈、成果物がはっきりします。

より良い結果が出やすいワークフロー

この順番で進めると精度が上がります。プロセス作成データを集める → LOLBin と親プロセスを特定する → コマンドラインを既知の不審パターンと照合する → 見つけた内容を検知ルールかハントクエリに落とす。最初の結果がノイジーなら、親イメージ、ネットワーク指標、コマンドラインの部分文字列で絞ってから、必要に応じて再度広げてください。

detecting-living-off-the-land-with-lolbas skill の FAQ

これは防御側専用ですか？

はい。主にブルーチーム向けの検知用途です。detecting-living-off-the-land-with-lolbas skill は、不審な使用を見つける助けにはなりますが、攻撃側の手口を教えるためのものではありません。

うまく使うには Sysmon が必要ですか？

最も相性が良いのは Sysmon ですが、コマンドライン記録付きの Windows Security Event ID 4688 でも十分に有用な分析はできます。エンドポイントのテレメトリが最小限しかない場合は、親子プロセス分析の重要度が高いため、精度は下がります。

通常の prompt と何が違いますか？

通常の prompt は LOLBins を一般論として扱うかもしれませんが、この skill は具体的なプロセス テレメトリ、シグネチャ、ルール作成パターンに基づいています。そのため、1 回きりの説明文よりも、再現性のある検知ロジックが必要な場面で強みがあります。

どんなときにこの skill を使わないべきですか？

エンドポイントのハードニング、マルウェアのリバースエンジニアリング、あるいはプロセス作成の証拠がない一般的なインシデント対応が目的なら、別の方法が向いています。Windows の実行悪用を対象にした検知エンジニアリング、脅威ハンティング、detecting-living-off-the-land-with-lolbas for Threat Modeling では特に強いです。

detecting-living-off-the-land-with-lolbas skill を改善する方法

skill に適切な証拠を渡す

最も良い入力は、image name、command line、parent image、user、timestamp、host role、そしてイベントが Sysmon か 4688 かを含む、小さく構造化されたサンプルです。たとえば「WINWORD.EXE が finance ワークステーションで javascript: を伴う rundll32.exe を起動した」といった依頼は、漠然とした「怪しい rundll32」よりずっと良い出力につながります。

欲しい出力形式をはっきり指定する

検知としての価値が欲しいなら、トリアージノート、ハントロジック、Sigma 条件、アナリスト要約のどれが必要かを明示してください。detecting-living-off-the-land-with-lolbas usage は、「上位 5 件の不審フィールドを列挙して Sigma の selection block を作成してほしい」のように、1 つの明確な成果物を指定すると精度が上がります。

よくある失敗パターンに注意する

最も多いミスは、通常の管理作業を過剰に悪性と断定してしまうことです。誤検知を減らすには、親プロセス、正確な command-line switch、そして想定される保守作業の文脈まで含めてください。これらがないと、skill 側は LOLBin が悪用されたのか、正当に使われただけなのかを推測するしかありません。

狭い基準から段階的に広げる

まずは 1 つのバイナリと 1 つのテレメトリソースから始め、最初の回答が浅い場合だけ範囲を広げてください。たとえば、最初は Sysmon での certutil.exe のダウンロードだけを尋ね、安定した検知パターンができてカバー範囲を比較できるようになってから mshta.exe、regsvr32.exe、rundll32.exe に広げる、という進め方が有効です。