靠土地生活 (LOTL)：它是什麼以及如何受到保護

Jacki

2025-01-31

網絡攻擊每天都變得更加複雜。雖然有些攻擊依賴於惡意軟件，但這些攻擊被稱為靠土地為生 (LOTL) 利用我們每天使用的工具和系統。這些攻擊通常不會被注意到，因為它們不涉及任何新的可疑文件或軟件。相反，它們利用網絡和其他合法工具中的現有資源，使它們更難以檢測和繞過傳統安全措施。

超過50%近年來的網絡攻擊涉及 LOTL 技術，70% 的安全專業人員發現由於使用本機工具和遠程訪問軟件而難以區分正常活動和惡意活動。 NotPetya 是最切題的靠土地生存攻擊的例子之一。

但僅僅因為 LOTL 攻擊是隱秘的，並不意味著您無法防禦它們。我們將詳細介紹“Living off the Land”攻擊的工作原理，以及您可以採取哪些措施來保護您的系統免受這些威脅。

2017 年最引人注目的 Living off the Land 攻擊之一是 NotPetya 攻擊。該惡意軟件最初偽裝成勒索軟件，以烏克蘭公司為目標，在全球範圍內快速擴張，然後將影響範圍擴大到全球商業網絡。 NotPetya 的主要危險方面來自於它使用 PowerShell 和 Windows Management Instrumentation (WMI) 作為合法系統工具進行傳播的能力。

Windows操作系統漏洞使NotPetya能夠在不安裝文件的情況下在網絡之間移動，因此傳統的安全檢測系統被證明是無效的。 NotPetya 造成了嚴重的業務中斷，因為它加密了系統文件並阻止用戶訪問其計算機，給受影響的公司造成了數十億美元的損失。當分析師發現，早期將財務利潤作為攻擊目標的假設被證明是錯誤的國家支持的網絡攻擊作為最可能的原因

Living off the Land 攻擊的隱蔽性並不意味著組織無法採取防禦措施來保護其係統。本節介紹了 Living off the Land 攻擊的操作以及保護您的系統免受此類攻擊的安全措施。

攻擊者使用的主要靠土地生存的技術

以下是攻擊者用來攻擊目標的最常見的靠土地謀生的技術：

👾漏洞利用工具包。攻擊者可以利用已知的軟件漏洞對目標系統發起攻擊。他們不是安裝新的惡意文件，而是利用這些弱點，並在獲得訪問權限後立即在現有系統環境中直接執行攻擊。

👾劫持原生工具。PowerShell 或 WMI 等流行的系統實用程序用於獲取提升的權限、竊取敏感數據以及維護網絡的持久性。這些工具功能強大，而且由於它們值得信賴，因此通常不會受到傳統防病毒系統的關注。

👾註冊表駐留惡意軟件。LOTL 攻擊者可以直接在 Windows 註冊表中植入惡意代碼或使用僅內存惡意軟件，而不是安裝新的惡意軟件文件。由於此代碼從不接觸磁盤，因此它可以逃避僅掃描文件的安全工具的檢測。

👾僅內存惡意軟件。一些攻擊者選擇將其惡意代碼完全存儲在系統內存中，這使得傳統安全解決方案更難識別它們。

由於這些攻擊使用屬於操作系統一部分的可信工具和進程，因此很難發現。這就像一個入侵者溜進你的前門，穿著你自己的衣服並使用你的鑰匙。

如何防止 LOTL 攻擊

雖然 LOTL 攻擊很狡猾，但它們並不是無敵的。您可以採取一些步驟來顯著減少成為這些複雜策略受害者的機會：

✅加強網絡安全。這是你的第一道防線。將管理權限限制為僅授予需要的人，並定期審核系統進程以確保後台沒有發生任何可疑情況。

了解更多：哪些應用程序正在竊取您的數據？ 2024 年如何保持保護？

✅定期審核系統流程以識別異常活動。始終保持您的軟件最新。許多 LOTL 攻擊利用過時系統中的已知漏洞。通過定期修補這些漏洞，您可以消除潛在的攻擊媒介。

✅保持軟件最新。教育您的員工或用戶了解以下危險網絡釣魚和魚叉式網絡釣魚。這些社會工程攻擊通常作為 LOTL 技術的入口點。適時的網絡釣魚電子郵件可以誘騙某人授予訪問權限，從而使攻擊者能夠使用合法的系統工具。

✅ 教育員工和最終用戶。限制對敏感數據和系統的訪問。通過限制每個用戶可以訪問的內容，您可以減少成功攻擊可能造成的潛在損害。

✅使用VPN。事實證明，虛擬專用網絡 (VPN) 是實現安全 Internet 連接的出色安全解決方案。加密可保護您的網絡免受針對不安全公共網絡的潛在攻擊。但我們建議您不要使用免費 VPN 解決方案，因為它們不提供強大的加密協議並且與營銷公司共享用戶數據，因此會帶來重大的安全風險。根據我們的建議，高級 VPN 應用程序 VeePN 提供針對數字安全威脅的全面保護。