資訊悅報 Vol.6|Bitdefender: 從 70 萬筆資安事件,揭露「離地攻擊(Living‑off‑the‑Land)」攻擊手法

部落格文章出處:https://www.bitdefender.com/en-us/blog/businessinsights/700000-security-incidents-analyzed-living-off-land-tactics?utm_campaign=%5BChannel%20Newsletter%5D&utm_medium=email&_hsenc=p2ANqtz-9g-xc72CTRSUKX6s4BT4JdhWwD57apHtSF4Z-XvKrEv9ZmIlU_b7W_tsCMhDcg0ZLK2C

Bitdefender Labs 深度分析

Bitdefender 實驗室團隊由數百名與學術界密切聯繫的安全研究人員組成,他們在開發GravityZone 主動強化和攻擊面縮減 (PHASR)技術的過程中,將當前橫行於實務環境中的 Living off the Land (LOTL)技術手法展開深度研究。 

 結果揭示出攻擊者在大多數重大資安事件中,持續且廣泛地濫用受信任的系統工具。雖然本研究主要供內部研發使用,但我們相信這些初步洞察對整體產業理解也具價值,因此在完整報告正式發佈前率先公開分享。

LOTL 工具濫用狀況:高達 84% 重大攻擊事件皆與之相關

為了準確了解 LOTL 執行檔的普遍性,我們分析了來自 Bitdefender GravityZone 平台的 70 萬起資安事件,並搭配過去 90 天的遙測資料(合法使用情境)。這些資安事件並非單純警示,而是經過關聯分析的事件,我們分析整體指令鏈以識別攻擊者使用 LOTL 執行檔的頻率。結果顯示:84% 的重大攻擊(高嚴重性事件)涉及 LOTL 工具使用。為進一步驗證,我們也分析了 MDR 數據,發現相同趨勢:85% 的事件涉及 LOTL 技術

最常被濫用的工具?是 Netsh.exe

儘管 LOTL 工具早已有廣泛探討的話題(包括我們的技術講解), 但過去多為經驗性分析,缺乏硬數據佐證。我們此次的分析是基於工具使用的頻率,而非其潛在破壞性。我們的目標是找出那些經常被濫用但在正常情況下很少用到的工具

顯而易見的是:攻擊者偏好的工具,也常是系統管理員常用的工具  例如powershell.exewscript.execscript.exe,都名列其中。然而,更令人驚訝的發現之一是netsh.exe 是最常被濫用的工具,在三分之一的重大攻擊中出現過。

雖然檢查防火牆設定對攻擊者而言是合邏輯的第一步,這個結果清楚顯示:資料分析能揭露那些人為經驗容易忽略的趨勢

以下是五個最常被濫用的工具:

  1. Netsh.exe-管理網路設定(如防火牆、介面、路由等)的命令列工具。
  2. PowerShell.exe-被譽為 Windows 管理的「瑞士刀」,具備強大指令列功能和腳本語言。
  3. Reg.e xe – 用來查詢、變更、加入或刪除登錄機碼,駭客常用來建立持久性。
  4. sc.exe  Microsoft C# 編譯器是一個命令列工具,用於將 C# 原始碼編譯為可執行檔(.exe)或動態連結程式庫(.dll )。
  5. Rundll32.exe –此系統實用程式載入並執行從 DLL 檔案匯出的函數,常用於DLL 側載攻擊

如前所述,攻擊者常用的工具,也正是系統管理員最常使用的工具。 這是整體趨勢,但也有例外情況,特別是像mshta.exepwsh.exebitadmin.exe 等工具,駭客大量利用,但 管理員實際上很少使用它們。

除了系統管理員熟悉的工具外,還有另一類較少被理解的被濫用工具,像是 csc.exe、msbuild.exe(Microsoft Build Engine)、或 ngen.exe(.NET 原生映像產生器),這些工具主要由開發者使用,且容易避開以系統管理為主的資安監控視野。

來自我們對Unfading Sea Haze 的研究的 MSBuild.exe 濫用範例

簡單解決方案的誘惑

我們的研究發現了另一個意想不到的發現: PowerShell.exe 在企業環境中極為普遍。儘管我們數據中的組織中,有近 96% 合法使用 PowerShell,但原先我們以為執行 PowerShell 的只有系統管理員。然而實際上,我們在 73% 的所有端點上都偵測到 PowerShell 活動。

進一步調查顯示,PowerShell 的啟用不僅來自管理員(例如登入/登出腳本),還來自許多第三方應用程式在背景執行 PowerShell 程式碼,且沒有明顯介面顯示

我們也觀察到wmic.exe也出現了類似的情況。這款工具在 2000 年左右流行起來, 雖然該工具於 2000 年代廣為使用,目前已大多被 PowerShell 取代,且 Microsoft 宣布將停用該工具。然而,我們驚訝地發現,wmic.exe在多數工作站中頻繁出現。分析後發現:許多第三方軟體仍仰賴 wmic.exe 來收集系統資訊

地區分析也顯示工具使用存在顯著差異。例如,PowerShell.exe在亞太地區(APAC)出現率僅 53.3%,與 EMEA 地區高達 97.3% 的使用率形成強烈對比。相對地,在 APAC 地區, reg.exe的出現率反而高於其他地區。

這顯示出:對工具的使用理解必須更細緻,即使看似過時的工具,仍可能承擔關鍵功能,任意禁用可能導致營運中斷。

你不能容忍它們,但也不能沒有它們

我們在開發 Bitdefender GravityZone 主動強化和攻擊面縮減 (PHASR)技術時,正是基於這種「又愛又恨」的 LOTL 現實進行設計。單純封鎖這些關鍵系統工具,可能會引發系統中斷或業務影響。因此 PHASR 採用更細緻且智慧的方式:根據使用行為,進行端點硬化與行動層級控管

PHASR 的作法不是封鎖整個工具,而是監控並阻止特定攻擊行為。例如透過分析powershell.exewmic.execertutil.exe等進程的行為,PHASR 能夠區分出惡意與合法用途。例如它允許 PowerShell 執行一般腳本,但會主動封鎖其執行加密命令或修改關鍵系統設定的行為。

再以WMIC.exe為例,PHASR 並不封鎖整個工具,而是能判斷其正常使用(如查詢系統資訊)與其濫用行為(如橫向移動、程序注入),並對後者進行精準阻斷。

這種「行為層級」的阻斷方式,加上多層次使用者與攻擊者行為分析,使得 PHASR 能提供量身打造的防護而不干擾業務流程。

PHASR 的核心效能來自其架構,內建數百項行為規則,這些規則依據已知攻擊者手法與全球威脅情報制定。其引擎會自動學習每台端點的正常行為基準,並持續與已知惡意模式與新興威脅比對。

透過智慧化分析,使 Bitdefender PHASR 不僅能偵測與通報可疑行為,還能主動阻止特定工具或特定功能的使用,當其行為偏離正常軌跡並與惡意指標吻合時,即自動介入。這一切防護過程無需人工介入與頻繁政策調整,能有效防範新型 LOTL 攻擊。

結論

勒索病毒組織 BlackBasta 的首腦「gg」曾說過一句令人不寒而慄的話:我們只用系統內建工具,就不會被偵測……我們從不下載任何工具。而 Bitdefender 對 70 萬筆資安事件的深入分析,也正好驗證了這句話的真實性。84% 的重大攻擊中均使用 LOTL 技術,證實駭客透過操作企業日常使用的系統工具,繞過傳統防線的效率與成功率極高。

因此,唯有像 Bitdefender PHASR 這樣的資安解決方案,不是封鎖工具本身,而是精準識別「惡意行為」,才能在不中斷業務的前提下,有效防禦現代攻擊者的滲透策略。

撰文者:Martin Zugec|Bitdefender Labs 研究團隊