living-off-the-land-attacks

“ living-off-the-land ”攻击技术(LOTL)是一种无文件恶意软件或利用链网络攻击技术,攻击者使用受害者系统中的本机合法工具来维持和推进攻击。

“本地为生”的(LOTL)是如何运作的?

与利用签名文件执行攻击计划的传统恶意软件攻击不同,LOTL攻击是无文件的——这意味着攻击者不需要在目标系统中安装任何代码或脚本。相反,攻击者使用环境中已经存在的工具,例如PowerShell、Windows Management Instrumentation (WMI)或密码保存工具Mimikatz来执行攻击。

使用本地工具使LOTL攻击更难以检测,特别是如果组织利用传统的安全工具来搜索已知的恶意软件脚本或文件。由于安全工具集的这个漏洞,黑客经常能够在受害者的环境中潜伏数周、数月甚至数年而不被发现。

LOTL工具

如果攻击者不需要安装代码来发起无文件恶意软件攻击,那么他们如何获得对环境的访问权限,以便修改其本地工具以达到他们的目的?访问可以通过几种方式完成,例如通过使用:

利用工具

  1. 劫持本地工具
  2. 注册表驻留恶意软件
  3. 内存的恶意软件
  4. Fileless ransomware
  5. 偷来的凭证

利用工具1:劫持本地工具

漏洞是代码片段、命令序列或数据集合;漏洞利用工具包是漏洞利用的集合。攻击者利用这些工具利用已知存在于操作系统或已安装应用程序中的漏洞。
漏洞利用是发起无文件恶意软件攻击(如LOTL攻击)的有效方法,因为它们可以直接注入内存,而不需要向磁盘写入任何内容。攻击者可以使用它们来自动进行大规模的初始妥协。

无论攻击是无文件攻击还是使用传统恶意软件,漏洞利用都以同样的方式开始。通常,受害者是通过网络钓鱼邮件或社交工程来引诱的。攻击工具包通常包括针对许多漏洞的攻击,以及攻击者可以用来控制系统的管理控制台。在某些情况下,漏洞利用工具包将包括扫描目标系统的漏洞,然后在运行中制作和启动定制的漏洞利用的能力。

劫持本地工具或两用工具

在LOTL攻击中,攻击者通常劫持合法工具来升级权限、访问不同的系统和网络、窃取或加密数据、安装恶意软件、设置后门接入点或以其他方式推进攻击路径。本地或两用工具的例子包括:

FTP (File transfer protocol)客户端或系统功能,如PsExec

取证工具,如密码提取工具Mimikatz

PowerShell,一个脚本启动框架,为Windows设备管理提供了广泛的功能

WMI,用于访问各种Windows组件的接口

注册表驻留恶意软件

注册表驻留恶意软件是一种恶意软件,它将自己安装在Windows注册表中,以便在逃避检测的同时保持持久性。

通常,Windows系统是通过使用下载恶意文件的滴管程序感染的。此恶意文件在目标系统上保持活动状态,这使得它容易被防病毒软件检测到。无文件恶意软件也可能使用dropper程序,但它不下载恶意文件。相反,dropper程序本身直接将恶意代码写入Windows注册表中。

恶意代码可以被编程为每次操作系统启动时启动,并且没有恶意文件可以被发现-恶意代码隐藏在不受反病毒检测的本地文件中。

这类攻击最古老的变种是Poweliks,但此后出现了许多变种,包括Kovter和GootKit。修改注册表项的恶意软件很可能在很长一段时间内不被发现。

内存的恶意软件

内存型恶意软件只存在于内存中。仅内存恶意软件的一个例子是Duqu蠕虫,它可以保持不被检测到,因为它只驻留在内存中。Duqu 2.0有两个版本;第一种是后门,允许对手在组织中获得立足点。然后,攻击者可以使用Duqu 2.0的高级版本,该版本提供了侦察、横向移动和数据泄露等附加功能。Duqu 2.0已经被用来成功入侵电信行业的公司和至少一家知名的安全软件提供商。

Fileless Ransomware

对手并不局限于一种攻击方式。他们使用任何能帮助他们捕获有效载荷的技术。今天,勒索软件攻击者正在使用无文件技术,通过使用nati将恶意代码嵌入到文档中