在过去的几年中,Living off the Land一直是网络安全的流行语,但这意味着什么呢?
在陆地上生活与耕种无关
近年来,网络犯罪分子使用“Living off the Land”(LotL)策略和工具已成为网络安全领域的一种日益增长的趋势。LotL的概念并不新鲜,已经存在了25年之久。
经常提到的无文件攻击是LotL攻击的子集。在LotL的保护下,经常会提及对双重用途工具和仅内存工具的利用。
使用LotL策略的攻击者使用受信任的系统工具来执行其工作。可能并不明显,但是网络攻击者可以使用100多个Windows系统工具来进行邪恶的目的。
网络攻击者出于某些原因使用这些工具,通常是为了隐藏其活动:他们希望其恶意活动将被隐藏在合法进程的海洋中。
除了允许攻击者进行隐身操作之外,使用LotL工具还意味着调查人员通常很难确定谁发起了恶意行为。
“ LotL工具意味着调查人员通常很难确定谁是恶意活动的幕后黑手”
网络犯罪分子增加LotL活动的其他原因是零日漏洞的可用性降低以及找到这些漏洞需要特别大的努力。浏览器安全性的提高使得此类漏洞更加难以发现。错误赏金计划消除了易于发现的漏洞,因此,只有最专注的研究人员和攻击者才能根除关键漏洞。在某些情况下,系统工具被列入白名单,并且可能是允许在安全系统上运行的唯一进程,从而使它们成为攻击者可用的唯一工具。
这些原因加在一起,意味着攻击者经常越来越多地转向LotL工具来执行其活动。
网络罪犯经常为LotL攻击利用合法工具,包括:
·PowerShell脚本
·VB脚本
·WMI
·Mimikatz
·PsExec
通常,所有这些工具在设备上都有合法用途,因此受害者和安全软件可能很难确定何时将其用于恶意目的。仅使用LotL工具,攻击者无需使用任何恶意软件即可获得对设备的远程访问,窃取数据或中断其操作。
您可以在Symantec(赛门铁克)去年发布的白皮书中了解有关LotL攻击的更详细的了解:Living off the Land和无文件攻击技术
Petya / NotPetya
最近最著名的网络攻击示例之一是Petya / NotPetya攻击,该攻击大量利用LotL工具,该攻击在2017年成为全球头条新闻。Petya使用软件供应链攻击作为其初始感染媒介,从而破坏了更新过程的软件记帐程序,众所周知在乌克兰广泛使用,那里发生了很多Petya / NotPetya感染。
在过去的几年中,软件供应链攻击(我们定义为将恶意软件植入通常位于其正常分发位置的其他合法软件包中)也变得越来越普遍。我们在ISTR 23中撰写了有关它们的文章。
Petya在感染过程中还使用了系统命令。执行后,它从Mimikatz中删除了LSADump的重新编译版本,该版本用于从Windows内存中转储凭据。然后使用帐户凭据将威胁复制到网络上发现的任何计算机的Admin $共享中。一旦威胁访问了远程系统,它就会使用已删除的PsExec.exe实例和Windows Management Instrumentation(WMI)命令行工具来远程执行自身。
Petya使用LotL工具在整个网络中进行传播,但是将系统工具用于侦察也很常见。在包括Tick,Chafer和Greenbug在内的Symantec(赛门铁克)检查的十个目标攻击组中,他们都使用系统工具来探索他们感染的设备和网络。
赛门铁克最近撰写的关于使用大量LotL工具的活动是由我们称为Thrip的目标攻击组织实施的网络间谍活动。Thrip使用LotL工具和自定义恶意软件的组合进行了针对间谍活动的网络间谍活动,这些活动针对的是电信和国防部门。Thrip利用的LotL工具包括PowerShell,PsExec和Mimikatz。