靠土地生活 (LOTL)：它是什么以及如何受到保护

Jacki

2025-01-31

网络攻击每天都变得更加复杂。虽然有些攻击依赖于恶意软件，但这些攻击被称为靠土地为生 (LOTL) 利用我们每天使用的工具和系统。这些攻击通常不会被注意到，因为它们不涉及任何新的可疑文件或软件。相反，它们利用网络和其他合法工具中的现有资源，使它们更难以检测和绕过传统安全措施。

超过50%近年来的网络攻击涉及 LOTL 技术，70% 的安全专业人员发现由于使用本机工具和远程访问软件而难以区分正常活动和恶意活动。 NotPetya 是最切题的靠土地生存攻击的例子之一。

但仅仅因为 LOTL 攻击是隐秘的，并不意味着您无法防御它们。我们将详细介绍“Living off the Land”攻击的工作原理，以及您可以采取哪些措施来保护您的系统免受这些威胁。

2017 年最引人注目的 Living off the Land 攻击之一是 NotPetya 攻击。该恶意软件最初伪装成勒索软件，以乌克兰公司为目标，在全球范围内快速扩张，然后将影响范围扩大到全球商业网络。 NotPetya 的主要危险方面来自于它使用 PowerShell 和 Windows Management Instrumentation (WMI) 作为合法系统工具进行传播的能力。

Windows操作系统漏洞使得NotPetya无需安装文件即可在网络之间移动，因此传统的安全检测系统被证明是无效的。 NotPetya 造成了严重的业务中断，因为它加密了系统文件并阻止用户访问其计算机，给受影响的公司造成了数十亿美元的损失。当分析师发现，早期将财务利润作为攻击目标的假设被证明是错误的国家支持的网络攻击作为最可能的原因

Living off the Land 攻击的隐蔽性并不意味着组织无法采取防御措施来保护其系统。本节介绍了 Living off the Land 攻击的操作以及保护您的系统免受此类攻击的安全措施。

攻击者使用的主要靠土地生存的技术

以下是攻击者用来攻击目标的最常见的靠土地谋生的技术：

👾漏洞利用工具包。攻击者可以利用已知的软件漏洞对目标系统发起攻击。他们不是安装新的恶意文件，而是利用这些弱点，并在获得访问权限后立即在现有系统环境中直接执行攻击。

👾劫持原生工具。PowerShell 或 WMI 等流行的系统实用程序用于获取提升的权限、窃取敏感数据以及维护网络的持久性。这些工具功能强大，而且由于它们值得信赖，因此通常不会受到传统防病毒系统的关注。

👾注册表驻留恶意软件。LOTL 攻击者可以直接在 Windows 注册表中植入恶意代码或使用仅内存恶意软件，而不是安装新的恶意软件文件。由于此代码从不接触磁盘，因此它可以逃避仅扫描文件的安全工具的检测。

👾仅内存恶意软件。一些攻击者选择将其恶意代码完全存储在系统内存中，这使得传统安全解决方案更难识别它们。

由于这些攻击使用属于操作系统一部分的可信工具和进程，因此很难发现。这就像一个入侵者溜进你的前门，穿着你自己的衣服并使用你的钥匙。

如何防止 LOTL 攻击

虽然 LOTL 攻击很狡猾，但它们并不是无敌的。您可以采取一些步骤来显着减少成为这些复杂策略受害者的机会：

✅加强网络安全。这是你的第一道防线。将管理权限限制为仅授予需要的人，并定期审核系统进程以确保后台没有发生任何可疑情况。

了解更多：哪些应用程序正在窃取您的数据？ 2024 年如何保持保护？

✅定期审核系统流程以识别异常活动。始终保持您的软件最新。许多 LOTL 攻击利用过时系统中的已知漏洞。通过定期修补这些漏洞，您可以消除潜在的攻击媒介。

✅保持软件最新。教育您的员工或用户了解以下危险网络钓鱼和鱼叉式网络钓鱼。这些社会工程攻击通常作为 LOTL 技术的入口点。适时的网络钓鱼电子邮件可以诱骗某人授予访问权限，从而使攻击者能够使用合法的系统工具。

✅ 教育员工和最终用户。限制对敏感数据和系统的访问。通过限制每个用户可以访问的内容，您可以减少成功攻击可能造成的潜在损害。

✅使用VPN。事实证明，虚拟专用网络 (VPN) 是实现安全 Internet 连接的出色安全解决方案。加密可保护您的网络免受针对不安全公共网络的潜在攻击。但我们建议您不要使用免费 VPN 解决方案，因为它们不提供强大的加密协议并且与营销公司共享用户数据，因此会带来重大的安全风险。根据我们的建议，高级 VPN 应用程序 VeePN 提供针对数字安全威胁的全面保护。