在過去的幾年中,Living off the Land一直是網絡安全的流行語,但這意味着什么呢?
近年來,網絡犯罪分子使用“Living off the Land”(LotL)策略和工具已成為網絡安全領域的一種日益增長的趨勢。LotL的概念並不新鮮,已經存在了25年之久。
經常提到的無文件攻擊是LotL攻擊的子集。在LotL的保護下,經常會提及對雙重用途工具和僅內存工具的利用。
使用LotL策略的攻擊者使用受信任的系統工具來執行其工作。可能並不明顯,但是網絡攻擊者可以使用100多個Windows系統工具來進行邪惡的目的。
網絡攻擊者出於某些原因使用這些工具,通常是為了隱藏其活動:他們希望其惡意活動將被隱藏在合法進程的海洋中。
除了允許攻擊者進行隱身操作之外,使用LotL工具還意味着調查人員通常很難確定誰發起了惡意行為。
“ LotL工具意味着調查人員通常很難確定誰是惡意活動的幕后黑手”
網絡犯罪分子增加LotL活動的其他原因是零日漏洞的可用性降低以及找到這些漏洞需要特別大的努力。瀏覽器安全性的提高使得此類漏洞更加難以發現。錯誤賞金計划消除了易於發現的漏洞,因此,只有最專注的研究人員和攻擊者才能根除關鍵漏洞。在某些情況下,系統工具被列入白名單,並且可能是允許在安全系統上運行的唯一進程,從而使它們成為攻擊者可用的唯一工具。
這些原因加在一起,意味着攻擊者經常越來越多地轉向LotL工具來執行其活動。
網絡罪犯經常為LotL攻擊利用合法工具,包括:
·PowerShell腳本
·VB腳本
·WMI
·Mimikatz
·PsExec
通常,所有這些工具在設備上都有合法用途,因此受害者和安全軟件可能很難確定何時將其用於惡意目的。僅使用LotL工具,攻擊者無需使用任何惡意軟件即可獲得對設備的遠程訪問,竊取數據或中斷其操作。
您可以在Symantec(賽門鐵克)去年發布的白皮書中了解有關LotL攻擊的更詳細的了解:Living off the Land和無文件攻擊技術
Petya / NotPetya
最近最著名的網絡攻擊示例之一是Petya / NotPetya攻擊,該攻擊大量利用LotL工具,該攻擊在2017年成為全球頭條新聞。Petya使用軟件供應鏈攻擊作為其初始感染媒介,從而破壞了更新過程的軟件記帳程序,眾所周知在烏克蘭廣泛使用,那里發生了很多Petya / NotPetya感染。
在過去的幾年中,軟件供應鏈攻擊(我們定義為將惡意軟件植入通常位於其正常分發位置的其他合法軟件包中)也變得越來越普遍。我們在ISTR 23中撰寫了有關它們的文章。
Petya在感染過程中還使用了系統命令。執行后,它從Mimikatz中刪除了LSADump的重新編譯版本,該版本用於從Windows內存中轉儲憑據。然后使用帳戶憑據將威脅復制到網絡上發現的任何計算機的Admin $共享中。一旦威脅訪問了遠程系統,它就會使用已刪除的PsExec.exe實例和Windows Management Instrumentation(WMI)命令行工具來遠程執行自身。
Petya使用LotL工具在整個網絡中進行傳播,但是將系統工具用於偵察也很常見。在包括Tick,Chafer和Greenbug在內的Symantec(賽門鐵克)檢查的十個目標攻擊組中,他們都使用系統工具來探索他們感染的設備和網絡。
賽門鐵克最近撰寫的關於使用大量LotL工具的活動是由我們稱為Thrip的目標攻擊組織實施的網絡間諜活動。Thrip使用LotL工具和自定義惡意軟件的組合進行了針對間諜活動的網絡間諜活動,這些活動針對的是電信和國防部門。Thrip利用的LotL工具包括PowerShell,PsExec和Mimikatz。