[AI安全论文] 21.S&P21 Survivalism经典离地攻击(Living-Off-The-Land)恶意软件系统分析
原文作者:Frederick Barr-Smith, Xabier Ugarte-Pedrero, et al.
原文标题:Survivalism: Systematic Analysis of Windows Malware
Living-Off-The-Land
原文链接:https://ieeexplore.ieee.org/document/9519480
发表会议:2021 IEEE Symposium on Security and Privacy (SP)
本文还参考了下面三位老师的博客,向老师和好友们学习,在此感谢。
1)实验室邹师弟和小伙伴们的分享
2)利用AI+大数据的方式分析恶意样本(二十六) - 高兄
3)论文笔记07 Survivalism - NUAAYYMM兄
文章目录:
摘要
一.引言
1.什么是离地攻击
2.APT中的离地攻击
3.提出五个关键问题
4.贡献(Contribution)
二.背景和相关工作
A.LotL Binaries
B.Scope of our Study
C.Related Work
三.MOTIVATION: 杀毒软件产品 vs 离地攻击技术
四.离地攻击流行性评估
A.Dataset Composition
B.Analysis Pipeline
C.LotL Technique Identification
D.Parameter Analysis to Identify Execution Purpose
五.评估结果
A.商用恶意软件中LotL技术的流行性(Prevalence)
B.Comparison of Benign and Malicious Samples
C.Prevalence of LotL techniques in APT Malware
六.案例分析
七.要点和讨论
八.局限性和未来工作
九.个人感受
《娜璋带你读论文》系列主要是督促自己阅读优秀论文及听取学术讲座,并分享给大家,希望您喜欢。由于作者的英文水平和学术能力不高,需要不断提升,所以还请大家批评指正。同时,前期翻译提升为主,后续随着学习加强会更多分享论文的精华和创新,在之后是复现和论文撰写总结分析。希望自己能在科研路上不断前行,不断学习和总结更高质量的论文。虽然自己科研很菜,但喜欢记录和分享,也欢迎大家给我留言评论,学术路上期待与您前行,加油~
前文推荐:
[AI安全论文] 05.RAID-Cyber Threat Intelligence Modeling Based on GCN
[AI安全论文] 06.NDSS2020 UNICORN: Runtime Provenance-Based Detector for Advanced Persistent Threats
[AI安全论文] 14.S&P2019-Neural Cleanse 神经网络中的后门攻击识别与缓解
[AI安全论文] 21.S&P21 Survivalism经典离地攻击(Living-Off-The-Land)恶意软件系统分析
摘要
一.引言
1.什么是离地攻击
通过利用这些工具,攻击者可以实现注册表修改、持久化、网络或系统侦察,或执行其他恶意代码。它们甚至可以用来减少由恶意活动产生的事件日志,而不需要将其他文件下载到本地的系统中。
2.APT中的离地攻击
PoshSpy[15]
:是一个俄罗斯APT29攻击模块,它是第一个被检测到的APT组织使用的LotL技术,特别是在PowerShell和Windows Management中。
– Dissecting One of APT29’s Fileless WMI and PowerShell Backdoors (POSHSPY)
伊朗威胁组织[1]、APT33、APT34和其他组织也以使用本地Windows二进制文件和其它签名工具而闻名,特别是PowerShell[8]。
Moreover, to the best of our knowledge no research contains a systematic study of LotL techniques’ prevalence in malware samples.
例如,
Emotet
和Trickbot
,两个最常见的远程访问木马(Remote Access Trojans,RAT),据称是使用链接的LotL二进制文件来实现持久化。作为一种对策,微软描述了对抗使用LotL技术商用RAT的基本步骤。高度逃逸的远程访问木马
Astaroth
,TA505
组织的一些恶意软件库,Dexphot cryptominer
和Nodersok
同期使用的多个LotL二进制文件。
3.提出五个关键问题
Our first step is to describe what a LotL binary is and how it can be leveraged by malicious software to conduct its nefarious actions.
Finally, we focus our attention on highly evasive and Advanced Persistent Threat (APT) malware to find out that it leverages these techniques twice as much as commodity malware.
4.贡献(Contribution)
二.背景和相关工作
A.LotL Binaries
任何具有公认合法用途的二进制文件,在攻击期间利用它直接执行恶意行为,或间接协助一系列恶意行动,从而达到恶意结果。
在Windows系统上默认安装的二进制文件(binaries installed),如
Reg.exe
、Sc.exe
和Wmic.exe
是最常被恶意软件执行的文件。大多数默认安装的二进制文件都是由微软认证码签名的。认证码签名证明二进制文件没有在编译中被篡改或修改,这些二进制文件甚至可能被列为白名单。利用可信的LotL二进制文件的恶意软件可能因此避开杀毒软件。在Windows系统上使用系统二进制文件可以作为恶意软件操作的一部分,更重要的是,许多LotL技术使用系统二进制文件来实现这些二进制文件的目的。
此外,可以使用外部签名二进制文件(external signed binaries),如
PsExec.exe
或其他系统内部二进制文件。虽然它们使用频率不高,但本文的分析也囊括了这些文件。如APT组织在SoftCell
和Havex
中都使用PsExec.exe
来秘密执行远程命令,从而实现网络中的横向移动。某些罕见情况,脆弱的(已签名)驱动程序被用来升级系统上的权限。这是
RobbinHood
勒索软件和各种APT wiper
恶意软件样本所使用的一种技术,针对Saudi Arabian
系统,包括Dustman
、Shamoon
和Zerocleare
。
某些LotL二进制文件可能会比其他文件留下更多的系统日志,安全工具或取证分析人员可以利用这些日志来检测恶意操作。例如,可以将Powershell配置为具有全面的日志记录。
微软甚至建议阻止在系统上执行一些本机的二进制文件,除非有充分的理由。
B.Scope of our Study
C.Related Work
Li等[31]对恶意PowerShell脚本进行了分析,其中有一个小节专门描述了LotL攻击和无文件攻击作为近年来网络攻击的趋势。(作者第17篇博客详细介绍过PS经典)
Wang等[72]最近发表的一篇关于数据来源分析的论文指出,Living-Off-The-Land 是一种新兴的、突出的逃避型恶意软件子类(evasive malware subtype)。(经典的You Are What You Do后续即将分享)
先前的工作[64]进行了介绍性分析,然而LotL恶意软件还没有受到详细的学术分析。(An emerging threat Fileless malware: a survey and research challenges)
赛门铁克[73,66]和思科Talos的[65]白皮书介绍了这个主题,并对多个数据集的流行性进行了分析。目前,没有论文对包含多个使用LotL技术的Windows恶意软件数据集进行大规模地系统分析。(经典)
https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/istr-living-off-the-land-and-fileless-attack-techniques-en.pdf
https://www.symantec.com/content/dam/symantec/docs/white-papers/living-off-the-land-turning-your-infrastructure-against-you-en.pdf
https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html
在一篇关于恶意软件分析工具Yara的论文中,Cohen[9]将LotL描述 “ LotL as a trend that has been recently observed in the tactics used by elite threat actors”,我们的分析结果进一步证实了该说法。
Hassan等[21]的研究表明,APT恶意软件使用LotL攻击策略来实现持续攻击并分析了两个活动,他们的工作还利用了MITRE ATT&CK框架[45],通过MITRE定义了一个描述和分类知名攻击的分类方法。许多LotL技术在MITRE ATT&CK框架内被索引。Mitre公司及其常见CVE漏洞是安全领域的既定权威,他们囊括并描述许多LotL技术,这样表明离地攻击是一个值得深入分析的课题。
W. U. Hassan, A. Bates, and D. Marino, “Tactical Provenance Analysis for Endpoint Detection and Response Systems,” IEEE Symposium on Security and Privacy, 2020.
https://github.com/LOLBAS-Project/LOLBAS
Ugarte等[67]通过识别可疑行为模式,测试了经
Powershell.exe
二进制调用的恶意脚本。Rubin等[61]将机器学习应用于检测PowerShell恶意软件(微软团队)。
Curtsinger[11]等人提出了恶意Javascript攻击的检测机制——ZOZZLE。
三.MOTIVATION
实验在联网的Windows 10虚拟机执行,并将最新的本地AV产品连接到它们的云组件。
利用一个反弹Shell来评估AV系统在部署LotL技术的恶意软件中有多脆弱。本文认为能够允许远程执行命令的reverse shell是成功执行代码的证明,这与许多远程访问木马(RAT)功能相同。
通过从不同LotL二进制文件中运行这个反弹shell来进行实验,以测试AV产品是否检测到离地攻击技术是恶意的。
我们在必要时混淆了反弹shell的有效载荷,并使用各种有效载荷类型来测试AV检测传递机制本身的能力,而不是通过静态签名传递的特定有效载荷(详见附录D)。
可以发现大部分的AV引擎允许我们建立一个反弹Shell并执行命令,它们并没有检测出利用LotL技术的恶意软件,60个中只检测出4个。
可以发现在60个相同的有效载荷中检测到了25个
在检测到的反弹shell测试中,我们修改了载荷(利用混淆或运行不同的载荷),同时为LotL二进制文件保持了完全相同的命令行参数,通过利用这些混淆和修改的有效载荷,我们成功地在这25个被拦截的实例中的19个执行了一个反向shell。
四.离地攻击流行性评估
A.Dataset Composition
To be as comprehensive as possible, we obtained public and private datasets from different sources.
公共恶意软件数据集,包括商用恶意软件、VirusShare语料库的二进制文件、窗口恶意PE文件、佐治亚理工学院发布的可执行文件、VX-Mumbal和MalShare共享的样本(两个重点的共有数据集)。
https://impactcybertrust.org/dataset{ }view?idDataset=1143
https://vx-underground.org/samples.html
https://malshare.com
从VT中收集了237,288个hash值,利用 AVClass
预处理代码和打标签(家族分类),并平衡数据集中每个族。
我们根据一种类似于数据集论文dAPTaset[59]的方法收集了一个APT恶意软件的数据集。我们处理了HTML页面和pdf文件(APTnotes
),并提取了这些文件中包含的所有恶意软件的hash值。
https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-rezaeirad.pdf
https://github.com/aptnotes/data
部署3个Yara规则来检测LotL二进制文件,并使用Livehunte来识别上传到VT的新的恶意软件hash,并使用LotL技术匹配恶意软件的行为特征。
B.Analysis Pipeline
data collection
data augmentation
data analysis
C.LotL Technique Identification
Shell Commands(Shell命令)
恶意二进制文件在主机操作系统中执行的Shell命令,Shell命令日志可以通过引用系统二进制文件的绝对路径来显示它的执行情况。同时,Windows的命令提示符还包括许多别名,例如Reg.exe的reg。
Processes(进程)
进程日志明确由恶意软件样本执行的系统二进制文件。执行的参数也包含在行为报告中的进程日志中。
Default System Binaries
Installed Signed Binaries
不带参数的二进制执行移除
沙箱产物删除(如Explorer.exe和sha256),Web访问不处理
删除Verclsid.exe的实例
D.Parameter Analysis to Identify Execution Purpose
Proxied Execution
代理执行,如Mshta.exe执行.hta文件,Rundll32.exe执行.dll文件
Persistence
如果恶意代码配置或修改系统以在未来某个时间点执行命令或存储的作业,那么它就实现了持久性,比如Sc.exe带有创建参数的Bitsadmin.exe,或带有日期时间参数的Schtasks.exe/At.exe
Delayed Execution
延迟执行,比如 Ping.exe执行-n
Firewall Modification
防火墙修改,如Netsh.exe
Registry Modification
注册表修改,如Reg.exe
Permissions Modification
权限修改,如Cacls.exe修改文件权限
File Opening
打开文件,如Explorer.exe
Reconnaissance
侦察,触发本地或远程配置的横向移动,如Net.exe
Task Stopping
使用LotL二进制文件秘密停止另一个进程或服务,如Taskkill.exe
五.评估结果
如果省略Ember良性数据集和APT恶意软件数据集(最小值和最大值),我们可以观察到,5.42%到12.72%的商用恶意软件样本至少使用了一次LotL技术。
在VT平衡数据集中,我们可以观察到9.6%的样本利用了这种类型的技术。
APT数据集使用LotL技术的频率明显高于商用恶意软件。26.26%的APT数据集使用了LotL技术,是类似的商品恶意软件数据集的两倍多。
VT数据集中最常用的二进制文件是Reg.exe、Nslookup.exe、Regasm.exe、Runas.exe、Schtasks.exe和Sc.exe。
其中一些二进制文件用于系统管理任务,如编辑注册表或创建计划任务;其他的则用于更改或提升特权,或启用网络活动。
最常见的目的是代理执行、侦察、任务停止和修改注册表。
我们还可以观察到,数据集之间有显著的变化,如预期的结果表5所示。这些结果表明,恶意软件使用LotL二进制文件不仅秘密执行其他代码,也通过注册表修改修改底层操作系统,使横向移动通过侦察,或避免其他软件运行在系统中。
大量的家族没有使用LotL二进制文件,而少数家族呈现出这些技术的高流行率。这意味着,虽然总体上大量采用了LotL技术,但这些技术的使用主要集中在有限数量的家族中。
B.Comparison of Benign and Malicious Samples
为什么一些安全产品难以检测这些技术?
Regsvr32.exe、Sc.exe和Rundll32.exe是最常用的执行二进制文件之一,所有这些文件都用于执行代码。我们可以注意到,恶意软件(表V)和良性软件(表VI)最常执行的二进制文件有显著差异。
我们观察到,虽然某些执行目的在恶意二进制文件中比在良性二进制文件中更为普遍(如侦察、持久性和注册表修改),但对其他二进制文件则有相反的趋势。例如,在恶意软件和良性软件中,最常见的目的是代理执行,这一发现与我们在第三节中的观察结果相关联。
结果表明,这些行为模式对启发式AV算法的创造者提出了重大挑战。这也反映在一些供应商对我们负责披露的反应上,即假阳性风险明显很高。
这一发现还同时说明,并非所有的LotL二进制文件在良性软件和恶意软件中都同样普遍,因此AV供应商仍然有机会创建启发式规则来识别在良性软件中不那么流行的技术类型。
C.Prevalence of LotL techniques in APT Malware
APT恶意软件使用了许多与商用恶意软件相同的二进制文件,其中Ping.exe是最常见的一个。
我们观察到APT恶意软件主要使用LotL技术来延迟和代理执行,以及侦察。这可能在一定程度上反映了APT恶意软件旨在实现隐蔽的横向移动和泄漏数据。
这表明APT组织在多个活动中使用了LotL技术。
六.案例分析
C:\ Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet
C:\ Windows\System32\cmd.exe /c wmic shadowcopy delete
HKEY_CURRENT_USER\Software\Microsoft\Windows
C:\Windows\System32\WScript.exe C:\Users \admin \enYXval36C\38oDr5.vbs
C:\Windows\System32\Rundll32.exe 8ivq.dll arzy949
C:\Windows\System32\cmd.exe /c ping 127.0.0.1 && reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce /v enYXval36C /t REG SZ /d C:\enYXval36CenYXval36C\enYXval36C.vbs /f
C:\ Windows\System32\mshta.exe ransom.hta
我们还描述了两个APT恶意软件组织:
Turla
GreyEnergy
APT组织Turla显示了LotL技术的利用演变,而GreyEnergy参与了对乌克兰电网的高度破坏性攻击。我们手动分析了这些样本中的LotL二进制文件。
C:\ Windows\SysWOW64\Rundll32.exe {64F97CDC...FAB40CA\}.db #1 #1}
C:\ Windows\System32\cmd.exe /c ( ping localhost >> nul & del $path \ grey3.exe >> nul )
图6显示了APT组织Turla越来越多地采用LotL技术,比如两个连续的模块化高逃逸木马,即Cobra(2014)和Mosgodo(2018)。
掩盖恶意dll,更换后缀通过rundll32执行
删除自身移除取证
七.要点和讨论
我们的结果证实了LotL技术不是一个不可忽视的现象。虽然有几篇技术文章涵盖了这个主题,但我们的系统评估会进一步促进对商用恶意软件采用这种技术的理解。在本文中,我们检查了几个不同的恶意软件数据集,并进行了一个AV评估实验,其中我们确认了几种已记录的LotL技术的低检测率。根据这些结果,我们可以得出以下结论:
我们测试的几乎每一个流行的AV产品都难以检测到LotL二进制文件的恶意使用。即使很负责地向每个供应商披露这些问题后,也只有一小部分供应商成功优化了检测机制。其中一些供应商针对我们的特定恶意载荷实现了检测机制,但没有实现交付机制本身。其他报告说,由于存在禁止性的假阳性风险,实施此类对策具有挑战性。
为了纠正这一检测差距,我们与AV供应商合作,以提高其检测能力。例如,卡巴斯基实现了由我们披露所产生的检测,如 Trojan.Win32.Lolbas.btad.exec 和 TrojanSpy.Win32.Agent.ftps。我们还发布了Yara规则来帮助检测LotL技术。此外,我们的研究表明,良性样本和恶意样本之间的执行目的存在差异,为检测算法的发展提供了一个方向。事实上,最近的论文[71, 21]探索了这条有前途的研究路线,以克服现有安全产品的局限性。
在一些描述中,LotL技术专门指可以实现AV逃逸方法的子集。然而在本文中,我们采用了更广泛的范围,并观察到在AV平衡数据集中,9.6%的恶意软件使用本地系统二进制来执行恶意行为。
关于执行目的,我们观察到LotL二进制文件不仅用于代理执行或逃逸,而且还用于实现常见的恶意例程,如延迟执行、修改系统配置、持久化或停止安全服务。
据AVClass工具报道,不同家族中LotL技术的流行率存在很大的差异。然而我们可以观察到,大多数家族的流行率较低,而少数家族使用这些技术的流行率要高得多。这意味着这些技术足够普遍,可以被某些恶意软件的作者所采用,但并不是在恶意软件中实现恶意功能的唯一或最普遍的方式。
合法软件使用的LotL二进制文件要少于恶意软件,尽管这些二进制文件用于不同的目的,但其流行程度足以使恶意使用的准确检测成为安全供应商面临的挑战。相反,在APT攻击中利用LotL二进制文件是普通商用恶意软件的两倍。
鉴于这些证据,我们可以得出结论,LotL技术在当前最先进的恶意软件中得到了重要的应用,从检测的角度来看,它们代表了安全行业的一个挑战。通过这篇论文,我们试图阐明这一现象,并提高研究界对这个开放问题的认识。
LOLBAS Project Contributions.
八.局限性和未来工作
Intended or Unexpected Functionality.
测量结果没有区分二进制文件的标准功能和利用副作用来实现某些结果的非标准使用。例如一个预期使用
Netsh.exe修改防火墙规则,而意外使用Netsh.exe运行.dll。
局限性:
Anti-VM Malware.
由于数据来自于云中托管的动态分析沙箱,恶意软件使用的反虚拟机规避技术可能会影响数据质量。我们通过排除在沙箱中执行最少或执行过程中崩溃的恶意软件样本来减轻这种情况。这可能会影响数据质量,因为使用反虚拟机技术的规避恶意软件并不能显示其实际行为。因此,我们可能低估了使用LotL二进制文件样本的数量。然而,我们的数据是这种技术流行程度的一个下限,并证明了这是一个不应被忽视的重要现象。Human Operators.
许多使用LotL技术的攻击者都是执行远程Shell、攻击性安全工具、PowerShell、VisualBasic或批处理脚本的人员。虽然有类似案例的民间证据,但很难像我们那样对一个有代表性的数据集进行测量研究。相反,我们缩小了论文的范围,并专注于恶意软件对LotL二进制文件的使用。我们展示了这种现象是不可忽视的,恶意软件作者也在他们的二进制文件中利用这些技术,而不仅仅是在开发后的脚本中。
后续工作:
Linux LotL
未来的研究方向是探索这些技术在Linux系统上的使用(名为GTFObins[19])。与Windows上的LotL技术类似,这些二进制文件可以用于实现恶意功能。虽然Linux恶意软件没有Windows那么多,但由于运行轻量级Linux系统的物联网僵尸网络的兴起,它是一个值得分析的主题。Detection
该领域的另一个未来研究方向是检测技术的部署,这些技术试图准确地捕获LotL技术的识别使用模式,如端点检测和响应(Endpoint Detection and Response,EDR)系统。未来的研究应该利用最近关于进程执行链的数据来源分析的工作[71,21],以实现对合法进程关系的建模和识别可疑的行为模式。
九.个人感受
写到这里,这篇文章就分享结束了,再次感谢论文作者及引文的老师们。接下来是作者的感受,由于是在线论文读书笔记,仅代表个人观点,写得不好的地方,还请各位老师和博友批评指正,感恩遇见,读博路漫漫,一起加油~
个人总结:
这篇文章属于系统分析类的文章,通过详细的实验分析了离地攻击(Living-Off-The-Land)的威胁性和流行度,包括APT攻击中的利用及示例代码论证。这类评估类的文章感觉比较难写,反正我很难写出来,但非常值得学习,感谢作者们的分享。同时,论文的研究背景、五个问题抛出、再到数据集采集、实验论证、回答问题、图表比较以及写作都非常棒,工作量是非常大,譬如常用10种AV引擎的评估以及九个月后的再次验证实验,就可以看到其工作量及贡献(LotL技术很难被发现)。
具体贡献如下:
这篇论文应该算是LotL系统分析的开山之作,本文提出了迄今为止对商用和APT恶意软件使用LotL技术最大规模的系统分析。在这之后可能会吸引更多的安全从业者将目光投向这个领域。
本文通过最流行的AV引擎进行评估,以验证LotL技术部署在恶意载荷中的可行性及流行度,并展示了离地攻击检测的复杂性对行业仍是一个挑战。即使在披露9个月后,这些技术仍没有被发现。
我们对代表现代商用恶意软件的几个数据集进行了大规模的评估,并确定了LotL技术的流行程度,以及在不同恶意软件家族和类型之间的差异。我们还评估了LotL技术由于假阳性风险可能对行业产生的影响。
我们评估了一个APT恶意软件数据集,并将其公开以促进(facilitate)后续的研究,并确定它执行LotL技术的频率是商用恶意软件的两倍。此外,我们还确定了哪些APT组织最多地使用LotL技术
同时,我们回过头来再看看作者提出的五个问题,以及它是如何进行实证分析的,这也是本文的精髓。
问题1:LotL技术能有效地逃避目前大部分安全厂商的杀毒软件检测吗?
通过10种最流行AV引擎检测六种类型LotL样本论证(表2和表3),目前安全厂商的杀毒软件很难检测,即使在披露9个月后,这些技术仍没有被发现。
问题2:在恶意软件中使用LotL二进制文件的情况有多普遍?
通过公开数据集和私有数据集以及APT数据集论证了LotL技术是一个普遍的线性,并且APT数据集使用LotL技术的频率明显高于商用恶意软件(图2)。26.26%的APT数据集使用了LotL技术,是类似的商品恶意软件数据集的两倍多。
问题3:恶意软件的二进制文件使用LotL技术的目的是什么?
通过解析最常用的LotL二进制文件的参数来确定出现它们的执行目的。图3显示了执行目的的结果分布,最常见的目的是代理执行、侦察、任务停止和修改注册表。此外,表5显示了商用恶意软件数据集中最常执行的LotL二进制文件,VT数据集中最常用的二进制文件是Reg.exe、Nslookup.exe、Regasm.exe、Runas.exe、Schtasks.exe和Sc.exe。
问题4:哪些恶意软件家族和类型使用LotL二进制文件最多,它们的使用情况又有何不同?
通过确定一些利用LotL技术的常用恶意软件家族,图4显示了AVClass报告的家族数量,其样本使用LotL技术技术的特定百分比。研究发现,大量的家族没有使用LotL二进制文件,而少数家族呈现出这些技术的高流行率。这意味着,虽然总体上大量采用了LotL技术,但这些技术的使用主要集中在有限数量的家族中。
问题5:在使用LotL二进制文件方面,合法和恶意二进制文件的行为有哪些重叠和差异呢?这将如何影响启发式AV引擎的检测呢?
某些执行目的在恶意二进制文件中比在良性二进制文件中更为普遍(如侦察、持久性和注册表修改),但对其他二进制文件则有相反的趋势,这些行为模式对启发式AV算法的创造者提出了重大挑战。同时,并非所有的LotL二进制文件在良性软件和恶意软件中都同样普遍,因此AV供应商仍然有机会创建启发式规则来识别在良性软件中不那么流行的技术类型。
此外,本文还分析了APT数据集中观察到的最常见的LotL二进制文件以及真实的APT案例。我们观察到APT恶意软件主要使用LotL技术来延迟和代理执行,以及侦察。这可能在一定程度上反映了APT恶意软件旨在实现隐蔽的横向移动和泄漏数据。
这篇文章就写到这里,希望对您有所帮助。由于作者英语实在太差,论文的水平也很低,写得不好的地方还请海涵和批评。同时,也欢迎大家讨论,继续加油!感恩遇见,且看且珍惜。
(By:Eastmount 2022-05-04 夜于火星 )
最后给出几段经典的句子:
To illustrate the evasive potential of LotL techniques, we test the usage of LotL techniques against several fully patched Windows systems in a local sandboxed environment and show that there is a generalised detection gap in 10 of the most popular anti-virus products.
Malware development and detection is a cat and mouse game, in which malware authors are continuously developing new techniques to bypass detection systems. Security products such as anti-virus (AV) implement static and heuristic analysis technologies to detect, classify and prevent malware from effective execution [5].
From a defender’s point of view, it is crucial to understand these attacks and study their trends in order to be able to react in a timely manner. One evasive tactic that has become popular among both red teams and malware authors is the usage of Living-Off-The-Land (LotL) techniques.
By leveraging these tools, an attacker can achieve registry modification, gain persistence, conduct network or system reconnaissance or perform a proxied execution of other malicious code. They can even be used to reduce the event logs generated by malicious activity without needing additional files to be downloaded onto the system.
In fact, LotL binaries are quite often used by system administrators and advanced computer users to perform system administration tasks, making it extraordinarily difficult to distinguish between legitimate and malicious behavior even for a trained analyst.
Finally, we focus our attention on highly evasive and Advanced Persistent Threat (APT) malware to find out that it leverages these techniques twice as much as commodity malware.
We assess the evasiveness of LotL techniques by testing a representative set of most popular AV engines against malicious payloads deployed via LotL techniques, showing how the detection complexity of LotL represents a challenge for the industry. Even nine months after disclosure, these techniques are still not successfully detected.
We conduct a large-scale measurement study across several datasets that are representative of modern commodity malware. We determine the prevalence of this technique and the differences among different malware families and types. We also assess the impact that LotL techniques might have in the industry due to false positive risk.
We evaluate a dataset of APT malware, which we make public to facilitate further research and ascertain that it executes LotL techniques twice as frequently as commodity malware. We also identify which APT groups use LotL techniques the most.
We have observed that LotL techniques are a widespread phenomenon both in commodity malware and APT campaigns, and although there might be some differences across malware types or families, it is clear that the security industry should not overlook this threat.