一种隐藏威胁技术 LOTL

kitty

一、概述

NSA 与其他机构 (包括 CISA、FBI、DOE、EPA、TSA 以及来自英国、加拿大、澳大利亚和新西兰的国际合作伙伴) 发布的新指南解决针对 LOTL 技术改进网络防御措施的需求，此次合作凸显了威胁的全球性质，以及发现模式以进行更好补救所需的共同努力。

Living Off the Land (LOTL) 攻击和二进制文件和脚本 (LOLBins) 已成为一个重大问题，随着威攻击者采用这种做法，CTI 和检测团队适应的紧迫性至关重要。

二、狩猎 LOLBin 威胁

鉴于 LOLBins 和 LOTL 攻击的隐蔽性，威胁狩猎在识别和缓解这些威胁方面发挥着至关重要的作用。防病毒软件和 EDR 解决方案等安全控制通常旨在识别已知的不良二进制文件。

就其本质而言，LOLBins 是合法的系统工具，这使得在没有上下文的情况下将其单次执行归类为恶意变得具有挑战性。老练的攻击者经常在一系列命令中使用 LOLBins，这可以暴露他们的恶意意图。比如：

2.1 意外调用

考虑 explorer.exe 调用 reg.exe 的实例，虽然 reg.exe 是用于操作注册表的标准 Windows 实用程序，但它由 Windows 桌面的 GUI shell explorer.exe 进行的调用可能不寻常。reg.exe 通常由系统管理员从命令行或脚本运行，而不是通过文件资源管理器运行。

此异常可能表明攻击者正在使用注册表实用程序修改系统设置或隐藏恶意软件的配置数据。

2.2 可疑执行链

另一个危险信号是执行链，其中连续使用 bitsadmin.exe，后跟随机可执行文件名称，然后是 vssadmin.exe。Bitsadmin.exe 是一个命令行工具，使用 BITS 管理文件的上传和下载。

当与 vssadmin.exe (一种可以删除文件卷影副本的实用程序，通常用于备份的功能) 结合使用时，它可能意味着尝试下载恶意负载，然后通过删除可用于以下目的的备份副本来掩盖踪迹。将文件恢复到感染前的状态。

三、了解恶意软件行为的意义

恶意软件分析对于打击 LOLBins 的滥用至关重要，通过剖析恶意软件，分析人员可以深入了解揭示这些二进制文件的恶意使用的执行模式。这些知识对于在 SIEM 和 EDR 中编写检测规则，同时改进整体威胁搜寻和检测工程流程非常宝贵。

以下是一些已知被恶意使用的 LOLBins，新发布的指南中也强调了这些 LOLBins：

3.1 CertUtil

尽管 CertUtil 旨在处理证书，但它可能被滥用于下载、解码或编码文件，这可能成为传播恶意软件或窃取数据的载体。



使用 Certutil 下载额外的有效负载

3.2 WMIC

Windows Management Instrumentation 命令行 (WMIC) 专为系统管理任务而设计 (已弃用)，可被攻击者利用来执行命令、收集信息或促进网络内的横向移动。



用于下载恶意负载



用于检测 AV 的 WMI 查询

3.3 CMD

命令提示符是用于执行脚本的强大解释器工具，但攻击者可以使用它来执行批处理文件以达到恶意目的。

3.4 PowerShell

作为 Windows 操作系统的高级脚本编写工具，PowerShell 经常被管理员用于自动化和配置。然而，它的功能可能被劫持以运行恶意脚本、逃避安全措施和访问敏感信息。



受监控的进程，包括 cmd.exe 和 powershell.exe

LOTL 攻击的阴险本质是由于滥用称为 LOLBins 的合法系统工具而促成的，需要持续监控和深入了解。随着出现地有人在 Windows、Linux 和 MacOS 中利用 LOTL 技术，理解和减轻这些威胁的重要性怎么强调也不为过。

通过恶意软件分析和沙箱，组织可以在缩小安全漏洞、检测 LOTL 攻击和加强威胁搜寻工作方面占据上风。

四、参考

• https://www.vmray.com/cyber-security-blog/living-off-the-land-lotl-a-typhoon-of-covert-threats/
• https://www.vmray.com/cyber-security-blog/sans-webcast-recap-dissecting-living-off-the-land-techniques
• https://www.vmray.com/resource/sans-webcast-dissecting-living-off-the-land-techniques-2
• https://media.defense.gov/2024/Feb/07/2003389936/-1/-1/0/JOINT-GUIDANCE-IDENTIFYING-AND-MITIGATING-LOTL.PDF
• https://media.defense.gov/2023/May/24/2003229517/-1/-1/0/CSA_PRC_State_Sponsored_Cyber_Living_off_the_Land_v1.1.PDF