Hassan等[21]的研究表明,APT恶意软件使用LotL攻击策略来实现持续攻击并分析了两个活动,他们的工作还利用了MITRE ATT&CK框架[45],通过MITRE定义了一个描述和分类知名攻击的分类方法。许多LotL技术在MITRE ATT&CK框架内被索引。Mitre公司及其常见CVE漏洞是安全领域的既定权威,他们囊括并描述许多LotL技术,这样表明离地攻...
利用可信的LotL二进制文件的恶意软件可能因此避开杀毒软件。在Windows系统上使用系统二进制文件可以作为恶意软件操作的一部分,更重要的是,许多LotL技术使用系统二进制文件来实现这些二进制文件的目的。 此外,可以使用外部签名二进制文件(external signed binaries),如PsExec.exe或其他系统内部二进制文件。虽然它们使用频率不...
Hassan等[21]的研究表明,APT恶意软件使用LotL攻击策略来实现持续攻击并分析了两个活动,他们的工作还利用了MITRE ATT&CK框架[45],通过MITRE定义了一个描述和分类知名攻击的分类方法。许多LotL技术在MITRE ATT&CK框架内被索引。Mitre公司及其常见CVE漏洞是安全领域的既定权威,他们囊括并描述许多LotL技术,这样表明离地攻...
Hassan等[21]的研究表明,APT恶意软件使用LotL攻击策略来实现持续攻击并分析了两个活动,他们的工作还利用了MITRE ATT&CK框架[45],通过MITRE定义了一个描述和分类知名攻击的分类方法。许多LotL技术在MITRE ATT&CK框架内被索引。Mitre公司及其常见CVE漏洞是安全领域的既定权威,他们囊括并描述许多LotL技术,这样表明离地攻...
近期,S&P 2021会议上的论文《Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land》为我们揭示了离地攻击(Living-Off-The-Land, LotL)技术的广泛应用及其威胁性。 什么是离地攻击(LotL)? 离地攻击,顾名思义,是指恶意软件利用系统中已经存在或易于安装的二进制文件(如已签名的合法管理工具...
关于LotL技术的文档大多以博客的形式出现,并记录着某些恶意软件家族的在野发现,或者攻击者在远程访问受损系统中所使用技术的描述。 例如,Emotet和Trickbot,两个最常见的远程访问木马(Remote Access Trojans,RAT),据称是使用链接的LotL二进制文件来实现持久化。
关于LotL技术的文档大多以博客的形式出现,并记录着某些恶意软件家族的在野发现,或者攻击者在远程访问受损系统中所使用技术的描述。 例如,Emotet和Trickbot,两个最常见的远程访问木马(Remote Access Trojans,RAT),据称是使用链接的LotL二进制文件来实现持久化。
LotL是指恶意软件利用目标系统已存在的合法工具和库来执行恶意行为,以此逃避安全检测。该技术在恶意软件逃避检测中广泛应用,尤其在高级持久性威胁攻击中占据重要地位。LotL技术的流行性与使用频率:实验结果显示,大量恶意软件使用了LotL技术,尤其在APT样本中占比高。LotL技术在APT攻击中的使用频率显著高于...
在恶意软件中使用LotL二进制文件的情况有多普遍? 在此基础上,我们试图阐明当前威胁情景中的一些趋势,以确定(identify): 问题3:What purposes do malware binaries use LotL techniques for? 恶意软件的二进制文件使用LotL技术的目的是什么? 问题4:Which malware families and types use LotL binaries most prolific...
简介:本文深入解读S&P21会议上的经典论文,探讨离地攻击(Living-Off-The-Land, LotL)技术的威胁性与流行度,通过实例和实验数据揭示其在恶意软件中的广泛应用,为安全从业者提供防范策略。 即刻调用文心一言能力开通百度智能云千帆大模型平台服务自动获取1000000+免费tokens立即体验 ...