LOLBAS的全名是「Living Off The Land Binaries, Scripts and Libraries」,
中文可以翻譯成「就地取材」。
這個概念是指攻擊者利用目標系統中既有的合法工具、腳本或程式庫來執行惡意活動,
而且不需要額外安裝或下載惡意軟體。
白話一點,就是 用你自己的工具來攻擊你。
傳統的惡意軟體需要被投放到目標系統中,
過程其實很容易被防毒軟體或安全監控系統偵測到。
但LOLBAS技術使用的都是系統內建的合法工具,
這些工具本身不會被標記為惡意程式,
所以大幅降低了被發現的機率。
許多LOLBAS攻擊完全在記憶體中執行,
不會在硬碟上留下惡意檔案,
所以傳統基於檔案掃描的安全解決方案就會變得很難偵測。
就像前面說的,
LOLBAS使用的都是系統合法程式,
即使目標有設應用程式白名單,
這些工具通常也在允許執行的清單中。
| 比較項目 | 傳統惡意軟體攻擊 | LOLBAS攻擊 |
|---|---|---|
| 檔案投放 | 需要投放惡意檔案 | 使用系統內建工具 |
| 防毒偵測 | 容易被特徵碼偵測 | 繞過傳統防毒軟體 |
| 白名單繞過 | 被應用程式白名單阻擋 | 合法程式,通常在白名單中 |
| 數位簽章 | 通常無合法簽章 | Microsoft官方簽章 |
| 系統管理員懷疑 | 明顯的惡意行為 | 看似正常的系統操作 |
| 取證分析 | 留下明顯證據 | 難以區分惡意與正常使用 |
下面這些工具都是Microsoft官方提供或系統管理員日常使用的合法程式,它們的執行不會觸發安全警報:
| 工具名稱 | 原始用途 | 惡意利用方式 |
|---|---|---|
PowerShell.exe |
系統管理自動化 | 執行惡意腳本、下載檔案 |
Certutil.exe |
證書管理 | 下載惡意檔案、編碼解碼 |
Regsvr32.exe |
DLL註冊 | 執行遠程腳本 |
Rundll32.exe |
DLL執行器 | 執行惡意DLL函數 |
Mshta.exe |
HTML應用程序執行 | 執行惡意HTA檔案 |
許多系統內建工具能做到的事情很多,攻擊者用LOLBAS可以達到這些事:
由於這些工具是系統正常運作所必需的,企業很難完全禁用它們,只能透過監控和限制使用方式來降低風險。
| 類別 | 技術描述 | 常用工具 |
|---|---|---|
| 檔案下載 | 從遠程伺服器下載惡意檔案 | certutil, bitsadmin, powershell |
| 代碼執行 | 直接執行惡意代碼或腳本 | powershell, wscript, rundll32 |
| 編碼/解碼 | 對惡意負載進行編碼隱藏 | certutil, powershell |
| 網路通訊 | 建立C&C通訊通道 | powershell, wmic |
| 檔案操作 | 操作、移動或刪除檔案 | forfiles, xcopy, robocopy |
為了幫助資安人員更好了解和防範這類攻擊,
安全研究社群創建了LOLBAS Project(https://lolbas-project.github.io/),
這是一個開源專案,
收集和整理了各種可被惡意利用的Windows系統內建工具。
| 功能 | 說明 | 使用者群體 |
|---|---|---|
| 技術文件 | 詳細的濫用技術說明和範例 | 紅隊、滲透測試員 |
| 檢測規則 | 提供YARA、Sigma等檢測規則 | 藍隊、SOC分析師 |
| ATT&CK對應 | 映射到MITRE ATT&CK框架 | 威脅情報分析師 |
| 社群貢獻 | 開放式協作平台 | 資安研究人員 |
這個專案的目標是:
LOLBAS技術不是單純的理論概念,在真實的網路攻擊中它們也被廣泛使用:
| 威脅類型 | 使用LOLBAS比例 | 常用工具 | 攻擊目標 |
|---|---|---|---|
| APT組織 | 85%+ | PowerShell, WMI, Certutil | 政府機關、關鍵基礎設施 |
| 勒索軟體 | 70%+ | PsExec, WMIC, PowerShell | 企業網路、醫院、學校 |
| 銀行木馬 | 60%+ | PowerShell, Regsvr32 | 金融機構、個人用戶 |
| 商業間諜 | 90%+ | PowerShell, BITS, Certutil | 企業、研發機構 |
| 加密貨幣挖礦 | 40%+ | PowerShell, WMI | 個人電腦、企業伺服器 |
| APT組織 | 地區 | 主要使用的LOLBAS工具 | 攻擊特徵 |
|---|---|---|---|
| APT29 (Cozy Bear) | 🇷🇺 俄羅斯 | PowerShell, WMI, Regsvr32 | 長期潛伏,政府目標 |
| APT1 (Comment Crew) | 🇨🇳 中國 | PowerShell, Certutil | 知識產權竊取 |
| APT28 (Fancy Bear) | 🇷🇺 俄羅斯 | PowerShell, WMIC | 軍事情報收集 |
| Lazarus Group | 🇰🇵 北韓 | PowerShell, Rundll32 | 金融犯罪、破壞活動 |
| APT40 (Leviathan) | 🇨🇳 中國 | Certutil, PowerShell | 海事產業間諜 |
Living Off The Land攻擊代表了現代網路威脅的一個重要發展方向。
攻擊者不再依賴複雜的惡意軟體,
而是巧妙地利用目標系統中既有的工具來達成攻擊目標。
iThome鐵人賽
看影片追技術