Entry № 690
就地取材攻击
就地取材攻击 是什么?
就地取材攻击攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
Living off the Land(LotL,就地取材)指攻击者使用操作系统自带工具和受信任的管理软件(如 PowerShell、WMI、certutil、bitsadmin、schtasks、rundll32、ssh、curl、AWS CLI)完成执行、发现、持久化和横向移动。由于这些二进制文件均经过签名且是正常运维所期望出现的工具,它们通常能绕过基于特征码的杀毒软件,并与日常管理员行为混在一起,使检测变成行为分析问题而不是文件哈希问题。LotL 与 MITRE ATT&CK 的防御绕过与执行战术高度相关,被 APT 组织和勒索软件附属团伙广泛使用。常见防御包括应用程序控制(WDAC/AppLocker)、命令行与 ScriptBlock 日志、EDR 行为分析以及最小权限原则。
● 示例
- 01
使用 certutil.exe 从攻击者控制的 URL 下载第二阶段载荷。
- 02
通过 bitsadmin 与计划任务执行编码后的 PowerShell,而非释放 EXE 文件。
● 常见问题
就地取材攻击 是什么?
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。 它属于网络安全的 攻击与威胁 分类。
就地取材攻击 是什么意思?
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
如何防御 就地取材攻击?
针对 就地取材攻击 的防御通常结合技术控制与运营实践,详见上方完整定义。
就地取材攻击 还有哪些其他名称?
常见的别称包括: LotL, LOL。