就地取材攻击
就地取材攻击 是什么?
就地取材攻击攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
Living off the Land(LotL,就地取材)指攻击者使用操作系统自带工具和受信任的管理软件(如 PowerShell、WMI、certutil、bitsadmin、schtasks、rundll32、ssh、curl、AWS CLI)完成执行、发现、持久化和横向移动。由于这些二进制文件均经过签名且是正常运维所期望出现的工具,它们通常能绕过基于特征码的杀毒软件,并与日常管理员行为混在一起,使检测变成行为分析问题而不是文件哈希问题。LotL 与 MITRE ATT&CK 的防御绕过与执行战术高度相关,被 APT 组织和勒索软件附属团伙广泛使用。常见防御包括应用程序控制(WDAC/AppLocker)、命令行与 ScriptBlock 日志、EDR 行为分析以及最小权限原则。
● 示例
- 01
使用 certutil.exe 从攻击者控制的 URL 下载第二阶段载荷。
- 02
通过 bitsadmin 与计划任务执行编码后的 PowerShell,而非释放 EXE 文件。
● 常见问题
就地取材攻击 是什么?
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。 它属于网络安全的 攻击与威胁 分类。
就地取材攻击 是什么意思?
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
就地取材攻击 是如何工作的?
Living off the Land(LotL,就地取材)指攻击者使用操作系统自带工具和受信任的管理软件(如 PowerShell、WMI、certutil、bitsadmin、schtasks、rundll32、ssh、curl、AWS CLI)完成执行、发现、持久化和横向移动。由于这些二进制文件均经过签名且是正常运维所期望出现的工具,它们通常能绕过基于特征码的杀毒软件,并与日常管理员行为混在一起,使检测变成行为分析问题而不是文件哈希问题。LotL 与 MITRE ATT&CK 的防御绕过与执行战术高度相关,被 APT 组织和勒索软件附属团伙广泛使用。常见防御包括应用程序控制(WDAC/AppLocker)、命令行与 ScriptBlock 日志、EDR 行为分析以及最小权限原则。
如何防御 就地取材攻击?
针对 就地取材攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
就地取材攻击 还有哪些其他名称?
常见的别称包括: LotL, LOL。
● 相关术语
- attacks№ 632
LOLBin / LOLBAS
被攻击者滥用、外表仍是合法管理工具的已签名原生二进制或脚本(LOLBin/LOLBAS),可用于执行、下载、持久化或绕过防护。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 1147
威胁狩猎
基于假设的主动搜索,深入遥测数据,发现绕过现有检测的威胁。