【资安关键字：攻击手法｜Living Off-the-Land】使用受害电脑现成的合法工具，掩盖攻击行动

我们在介绍Palo Alto Networks揭露的Thor木马程式攻击行动里，骇客为了下载恶意程式而不致被防毒软件拦截，采用了“Living Off-the-Land（LoL，亦被缩写为LOtL）”的手法，借由Windows操作系统的BITSAdmin，将恶意软件传送到受害的Exchange服务器。Living Off-the-Land指的是什么？意思是骇客为了让攻击行动不易被察觉，直接利用受害电脑现成的合法工具来执行相关工作，这么做的目的，就是避免因使用自己的工具，被资安防护系统视为异常而遭到阻挡。

Living Off-the-Land一词，中文有人翻成“离地攻击”、“自给自足”，或是“就地取材”。其中，“离地攻击”是照着字面的意思直接翻译，指的是能不着痕迹而躲避资安防护系统的侦测，是目前最常见的用法，但这个说法并未翻译到Living一词，也没有表达所代表的意思；而“自给自足”这个说法，说明了攻击行动无需靠后端支援的策略，赛门铁克在网络安全威胁报告（ISTR）中文版也采用这个说法，但自给自足并没有点明手法中运用了受害环境的现成工具。相较之下，我们认为“就地取材”比较贴近原来英文要表达的意涵。

究竟这种说法什么时候开始出现？最早应该可追溯到2013年，Christopher Campbell与Matthew Graeber两位资安研究人员在DerbyCon大会上的演说。针对这样的情况，有人于2018年提出了LoLBins、LOLScript、LOLLib的说法，进一步区分运用可执行档案、程式码、程式库等不同型态的就地取材攻击。若是同时运用可执行档案与程式码（或程式库），则被称为LOLBAS（Living Off-the-Land Binaries and Scripts）。

而根据iThome的报导，Living Off-the-Land大约是在2018年左右开始被资安专家提及，资安厂商在发表年度资安威胁报告时，指出这种就地取材的手法可说是相当泛滥，而当时他们认为被滥用最为严重的工具，就是自Windows 7开始内建的PowerShell，原因是该工具的功能极为强大，且几乎每台Windows电脑都有。根据赛门铁克的研究，2018年滥用PowerShell程式码的攻击行动，较2017年成长了1000%。

当时被点名用于就地取材的工具，还有像是WinZip、WinRAR，以及7-Zip等解压缩软件，攻击者用这类工具来打包窃得的资料，而这些软件也在企业相当常见。不过，上述并非Windows内建的软件，攻击者势必要充份了解攻击目标的情况下，事先确定企业部署的是那一套软件，才能在攻击行动中就地取材。

时至今日，这种手法已经不再只是上述提及的PowerShell或是应用程序，许多攻击者开始使用操作系统更为核心的功能，以前面提到Thor而言，骇客利用的是Windows内部的BITS管理工具BITSAdmin，而这种就地取材、利用BITS服务做为下载恶意软件的管道，还有今年3月被揭露的勒索软件病毒AlumniLocker和Humble攻击。

除了将合法工具用于下载，还有其他应用。例如，Evil Corp于2020年发动的WastedLocker勒索软件攻击，该组织就运用了多种合法工具就地取材：他们使用Windows内建的软件授权工具（SLUI.EXE），来提升权限，并搭配Windows Management Instrumentation Command-Line Utility（WMIC.EXE）来远端执行命令，再利用PsExec工具向大量电脑植入WastedLocker。这里Evil Corp所运用的工具，仅PsExec并非系统内建，但是该软件在企业环境算是IT人员常用的工具。

但这种就地取材的做法，只会发生在Windows的环境吗？答案并非如此，像是在2021年初，骇客针对阿里云和腾讯云两大中国公有云的攻击行动，为了让恶意程式Pro-Ocean能持续在受害环境执行，他们运用的是Linux操作系统内建的LD_PRELOAD，来预载这只恶意程式。