根据 APJ Darktrace 企业安全总监对 ACSC 及其五眼联盟合作伙伴本周发布的声明的回应,“离地生活”攻击技术越来越受欢迎。
Living off the land (LOTL) 是一种无文件恶意软件或 LOLbins 网络攻击技术。
网络罪犯使用受害人系统中的本机合法工具来维持和推进攻击。
随着 ACSC 及其合作伙伴今天的宣布,以陆地为生的技术再次成为人们关注的焦点,作为一种逃避检测的方式。
由于多种原因,这种技术越来越受欢迎。
攻击者不需要暗中将恶意工具下载到网络中来实现他们的目标,这样做的行为可能会暴露他们在受害者环境中的存在。
在受感染的端点上利用已经可用且通常是必需的工具,意味着旨在识别已知恶意应用程序和进程的传统保护措施将无法揭示攻击者现在使用受制裁应用程序时的活动。
虽然威胁情报是一种有价值的工具,也是防御者战略的重要组成部分,但它依赖于以前攻击的细节,根据已知的不良危害指标 (IOC) 来查明恶意活动。
这些 IOC 反映了威胁行为者的策略、技术和程序,并且必须在每次这些行为发生变化时进行更新,以便它们仍然是发现恶意活动的有效方法。
离岸技术尤其成问题,因为应用程序本身不是问题,而是这些应用程序被使用的有害方式。
这使得使用规则、签名和威胁情报作为防止此类攻击实现其目标的方式变得不那么有效。
这就是为什么了解围绕其他合法工具的异常行为对于保护组织免受已知和未知攻击至关重要,尤其是在没有特定威胁情报可用的情况下。
为用户、机器和整个组织建立‘正常’活动模式将使异常行为能够在攻击者能够实现其目标之前被识别、调查和响应。
虽然并非所有异常活动都可能是恶意的,但绝大多数恶意活动看起来都是异常的,这让防御者在发现传统方法可能遗漏的东西方面占了上风。
随着组织开始接受入侵是不可避免的,我们必须越来越多地在我们的环境中寻找已经溜过边界防御的威胁。
不应假设这些技术仅供能力强的民族国家行为者使用。
在最近的历史中,在大部分网络级攻击中很容易观察到此类攻击。
威胁行为者的动机在于,如果他们能够成功避开防火墙、端点检测和响应解决方案等外围防御,那么使用网络中现成的工具集基本上对防御者来说是无形的。
如果我们要实现真正的网络弹性,我们必须研究检测和防止异常使用合法工具的方法,否则就有失去对这一重要攻击媒介的可见性的风险。
