本片论文主要研究的是在Windows系统下的恶意软件所利用的哪些系统原生带的或者易于安装的二进制文件,以及其运行的目的。
由于我的研究方式重点是放在APT上,所以重点关注APT相关的内容
1. 概述
1.1描述一下LOTL技术
LotL技术指的是使用已经存在于系统上或易于安装的二进制文件(例如,经过签名的合法管理工具)来进行post-exploitation activity.
1.2 APT组织中使用LotL技术
2. 背景
2.1 A. LotL Binaries
Living-Off-The-Land在恶意软件中是指:攻击者可能利用他们已经可用的东西(要么已经存在于系统中,要么容易安装)来进行一次成功的攻击并避免被发现。
定义:在本文中,我们将LotL二进制文件定义为任何合法使用的二进制文件,它们可以在攻击期间直接执行恶意操作;或者间接地协助攻击。
例子:
- Windows系统上默认安装的二进制文件,如Reg.exe、Sc.exe和Wmic.exe是最容易被恶意软件利用执行的,大多数默认安装的二进制文件都是由Microsoft Authenticode[35]签名的。Authenticode签名证明二进制文件在编译过程中没有被篡改或修改,这些二进制文件甚至可能被显式地列入白名单。在Windows系统上使用系统二进制文件可以作为恶意软件操作的一部分,更重要的是,许多LotL技术利用系统二进制文件来达到这些二进制文件的目的(就是说他就正好利用这个合法的二进制文件该做的事来帮助恶意软件去做这件事)。
- 也可以使用外部签名二进制文件(External signed binaries),但是它们被使用的概率没有那么高,但是本文也将其放在了研究范围内。
Traceability:
- 某些LotL二进制文件可能比其他文件留下更多的系统日志,安全工具或取证分析人员可以利用这些日志来检测恶意行为,但是这只是某些,比如: Powershell can be configured to have comprehensive logging.
- Microsoft also recommend a number of these native binaries to be blocked from executing on systems, unless there is good reason to do otherwise [39].微软甚至建议停止一些二进制的使用。
2.2 研究范围
在本文中,我们关注Windows恶意软件执行系统二进制文件的各种目的。这些目的通常包括沿着入侵杀伤链(intrusion kill chain)[24]前进或避免A V检测。(本文主要是探究这些的二进制文件被恶意执行的目的)
2.3相关工作
在一些论文中提到了LotL技术,强调了隐身(stealthiness)和APT恶意软件的使用。
Hassan et al.[21]的研究表明(就是学姐之前组会讲过的那一篇),APT恶意软件使用lotl攻击策略来实现持续攻击,他们的工作还利用了MITRE的A TT&CK[45],通过它MITRE定义了一个优秀的分类法,用来描述和分类最著名的攻击。许多LotL技术在MITRE ATT&CK框架内被索引,这个可以结合lolbas一起看:https://github.com/LOLBAS-Project/LOLBAS/blob/master/README.md
下面看一下LOLBAS:
可以看到每个收录的二进制文件都能对应到ATT&CK的一个攻击技术中。