趋势科技
我们在介绍Palo Alto Networks揭露的Thor木马程式攻击行动里,骇客为了下载恶意程式而不致被防毒软件拦截,采用了“Living Off-the-Land(LoL,亦被缩写为LOtL)”的手法,借由Windows操作系统的BITSAdmin,将恶意软件传送到受害的Exchange服务器。Living Off-the-Land指的是什么?意思是骇客为了让攻击行动不易被察觉,直接利用受害电脑现成的合法工具来执行相关工作,这么做的目的,就是避免因使用自己的工具,被资安防护系统视为异常而遭到阻挡。
Living Off-the-Land一词,中文有人翻成“离地攻击”、“自给自足”,或是“就地取材”。其中,“离地攻击”是照着字面的意思直接翻译,指的是能不着痕迹而躲避资安防护系统的侦测,是目前最常见的用法,但这个说法并未翻译到Living一词,也没有表达所代表的意思;而“自给自足”这个说法,说明了攻击行动无需靠后端支援的策略,赛门铁克在网络安全威胁报告(ISTR)中文版也采用这个说法,但自给自足并没有点明手法中运用了受害环境的现成工具。相较之下,我们认为“就地取材”比较贴近原来英文要表达的意涵。
究竟这种说法什么时候开始出现?最早应该可追溯到2013年,Christopher Campbell与Matthew Graeber两位资安研究人员在DerbyCon大会上的演说。针对这样的情况,有人于2018年提出了LoLBins、LOLScript、LOLLib的说法,进一步区分运用可执行档案、程式码、程式库等不同型态的就地取材攻击。若是同时运用可执行档案与程式码(或程式库),则被称为LOLBAS(Living Off-the-Land Binaries and Scripts)。
而根据iThome的报导,Living Off-the-Land大约是在2018年左右开始被资安专家提及,资安厂商在发表年度资安威胁报告时,指出这种就地取材的手法可说是相当泛滥,而当时他们认为被滥用最为严重的工具,就是自Windows 7开始内建的PowerShell,原因是该工具的功能极为强大,且几乎每台Windows电脑都有。根据赛门铁克的研究,2018年滥用PowerShell程式码的攻击行动,较2017年成长了1000%。
当时被点名用于就地取材的工具,还有像是WinZip、WinRAR,以及7-Zip等解压缩软件,攻击者用这类工具来打包窃得的资料,而这些软件也在企业相当常见。不过,上述并非Windows内建的软件,攻击者势必要充份了解攻击目标的情况下,事先确定企业部署的是那一套软件,才能在攻击行动中就地取材。
时至今日,这种手法已经不再只是上述提及的PowerShell或是应用程序,许多攻击者开始使用操作系统更为核心的功能,以前面提到Thor而言,骇客利用的是Windows内部的BITS管理工具BITSAdmin,而这种就地取材、利用BITS服务做为下载恶意软件的管道,还有今年3月被揭露的勒索软件病毒AlumniLocker和Humble攻击。
除了将合法工具用于下载,还有其他应用。例如,Evil Corp于2020年发动的WastedLocker勒索软件攻击,该组织就运用了多种合法工具就地取材:他们使用Windows内建的软件授权工具(SLUI.EXE),来提升权限,并搭配Windows Management Instrumentation Command-Line Utility(WMIC.EXE)来远端执行命令,再利用PsExec工具向大量电脑植入WastedLocker。这里Evil Corp所运用的工具,仅PsExec并非系统内建,但是该软件在企业环境算是IT人员常用的工具。
但这种就地取材的做法,只会发生在Windows的环境吗?答案并非如此,像是在2021年初,骇客针对阿里云和腾讯云两大中国公有云的攻击行动,为了让恶意程式Pro-Ocean能持续在受害环境执行,他们运用的是Linux操作系统内建的LD_PRELOAD,来预载这只恶意程式。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- 淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
- 哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
- 白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
- 北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
- 天猫新规可以无条件申请“仅退款”了?淘宝天猫又离狗多多零元购近了一步2024-06-28 09:27:13
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
- 科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15