[AI安全論文] 21.S&P21 Survivalism經典離地攻擊（Living-Off-The-Land）惡意軟件系統分析

摘要

隨著惡意軟件檢測算法和方法變得越來越復雜（sophisticated），惡意軟件作者也采用（adopt）同樣復雜的逃避機制（evasion mechansims）來對抗（defeat）它們。

民間證據表明離地攻擊技術（Living-Off-The-Land，LotL）是許多惡意軟件攻擊中最主要的逃避技術之一。這些技術利用（leverage）系統中已經存在的二進制文件來執行（conduct）惡意操作。

基于此，我們首次對Windows系統上使用這些技術的惡意軟件進行大規模系統地調查。

在本文中，我們分析了這些本地系統的二進制文件在多個惡意軟件數據集上的使用情況，這些數據集共包含31,805,549個樣本。我們發現平均流行率（prevalence）為9.41%。實驗結果表明，LotL技術被大量的使用，特別是在高級持久性威脅（Advanced Persistent Threat ，APT）惡意軟件樣本中，離地攻擊占比為26.26%，是社區惡意軟件的兩倍多。

為了驗證（illustrate）LotL技術的逃逸潛力，我們在本地沙箱環境（sandboxed environment）中對幾個完全打補丁的Windows系統進行了離地攻擊技術的測試，其結果表明在10個最流行的反病毒產品（anti-virus）中存在明顯的gap。

每一篇安全頂會論文的摘要都值得我們學習，尤其是S&P。這里全文翻譯并標記重要的英文單詞，希望大家能更準確地描述安全問題以及本文的貢獻。

一.引言

由于每篇論文的引言都非常重要，會告訴大家為什么有這個工作，以及這個工作做了什么，有什么貢獻。因此該部分作者會全文翻譯，后續章節則介紹重點內容。

1.什么是離地攻擊

惡意軟件開發和檢測是貓和老鼠的游戲，惡意軟件作者不斷開發新技術來繞過（bypass）檢測系統。像AV殺毒軟件（anti-virus）這樣的安全產品通過靜態和啟發式分析（heuristic analysis）技術，以檢測、分類和防止惡意軟件有效執行。

在過去，許多解決方案嚴重依賴于基于簽名的檢測，但不幸的是，由于使用了多態性（polymorphism）和加殼程序（packers），這些方法變得不再那么有效。相反，許多產品開始開發啟發式分析解決方案，包括檢測惡意行為的算法。這些算法已成為AV引擎的重要組成部分。隨著時間的推移，這些算法越來越復雜，因此需要更多創新性的逃避技術。

惡意軟件作者和紅隊經常研究和發現新方法來繞過安全解決方案。雖然它們的潛在目標本質上可能有所不同，但這兩種類型的攻擊者通常都利用（leverage）最先進（state-of-the-art）的逃避技術來實現目標。從防守者的角度來看，為了及時作出響應，了解這些攻擊和研究它們的趨勢是至關重要的（crucial）。其中，在紅隊和惡意軟件作者中都流行的規避策略就是使用離地攻擊（LotL）技術。

離地攻擊（LotL）技術是指使用系統中已經存在或易于安裝的二進制文件（如已簽名的合法管理工具）來執行后滲透活動（post-exploitation activity）。

• 通過利用這些工具，攻擊者可以實現注冊表修改、持久化、網絡或系統偵察，或執行其他惡意代碼。它們甚至可以用來減少由惡意活動產生的事件日志，而不需要將其他文件下載到本地的系統中。

LotL techniques refer to the use of binaries that are already present on systems or are easy to install (e.g., signed, legitimate administration tools) to conduct post-exploitation activity.

2.APT中的離地攻擊

離地攻擊并不是隱蔽的技術，它們在互聯網上公開記錄著。許多開源的攻擊安全工具利用了LotL技術，并且經常被攻擊者所使用，從合法的紅隊到業余的網絡攻擊者，以及有組織的APT團隊。

• PoshSpy[15]：是一個俄羅斯APT29攻擊模塊，它是第一個被檢測到的APT組織使用的LotL技術，特別是在PowerShell和Windows Management中。

  – Dissecting One of APT29’s Fileless WMI and PowerShell Backdoors (POSHSPY)

• 伊朗威脅組織[1]、APT33、APT34和其他組織也以使用本地Windows二進制文件和其它簽名工具而聞名，特別是PowerShell[8]。

表1列出了幾個國家背景的APT組織所使用的LotL技術。

盡管“離地攻擊”在信息安全界是一個相對知名的術語，但有時很難找到一個精確的定義。此外，據我們所知，沒有任何研究包含了對LotL技術在惡意軟件樣本中的流行程度的系統分析。

• Moreover, to the best of our knowledge no research contains a systematic study of LotL techniques’ prevalence in malware samples.

關于LotL技術的文檔大多以博客的形式出現，并記錄著某些惡意軟件家族的在野發現，或者攻擊者在遠程訪問受損系統中所使用技術的描述。

• 例如，Emotet 和 Trickbot，兩個最常見的遠程訪問木馬（Remote Access Trojans，RAT），據稱是使用鏈接的LotL二進制文件來實現持久化。
• 作為一種對策，微軟描述了對抗使用LotL技術商用RAT的基本步驟。高度逃逸的遠程訪問木馬 Astaroth，TA505 組織的一些惡意軟件庫，Dexphot cryptominer 和 Nodersok 同期使用的多個LotL二進制文件。

3.提出五個關鍵問題

在本文中，我們分析了LotL現象，即商用惡意軟件中與離地攻擊二進制文件利用相關的文件。我們首先描述了什么是LotL binary以及它如何被惡意軟件利用來實施惡意行為的。

• Our first step is to describe what a LotL binary is and how it can be leveraged by malicious software to conduct its nefarious actions.

本文的研究重點是以Windows為主導的操作系統下流行且惡意軟件最常針對的目標。許多基于離地攻擊的AV逃逸行為已被記錄下來。因此（As a consequence），安全界很大程度上認為，LotL技術（如代理執行惡意軟件）實際上對安全解決方案是有效的。

首先，我們提出了第一個假設以及第一個研究問題：

問題1：Can LotL techniques effectively evade commercial AV?

LotL技術能有效地逃避目前大部分安全廠商的殺毒軟件檢測嗎？

為了回答這個問題，我們評估了一組具有代表性的安全產品，并展示了其中的一些技術，雖然這是攻擊者和防御者所熟知的，但仍然是繞過安全解決方案的有效方法，因此對安全行業來說這仍是一個開放的挑戰。

事實上，LotL二進制文件經常被系統管理員和高級計算機用戶使用來執行（perform）系統管理任務，這使得即使是對于訓練有素的分析人員來說，區分（distinguish）合法行為和惡意行為也非常困難。我們負責任地向受影響的供應商披露了我們的發現并進行跟進，因此提高了他們的檢測能力。

盡管現有的文檔提供了這些技術使用的可靠證據，但仍然不清楚這種現象在惡意軟件樣本中有多普遍。因此（In this way），我們就提出了第二個研究問題：

問題2：How prevalent is the use of LotL binaries in malware?

在惡意軟件中使用LotL二進制文件的情況有多普遍？

在此基礎上，我們試圖闡明當前威脅情景中的一些趨勢，以確定（identify）：

問題3：What purposes do malware binaries use LotL techniques for?

惡意軟件的二進制文件使用LotL技術的目的是什么？

問題4：Which malware families and types use LotL binaries most prolifically and how does their usage differ?

哪些惡意軟件家族和類型使用LotL二進制文件最多，它們的使用情況又有何不同？

此外，我們還調查（investigate）了為什么這些技術難以檢測。部分殺毒軟件公司參與了我們的披露，即將惡意攻擊與系統管理員執行完全合法的管理任務區分開來是困難的。這就給我們帶來了另一個問題：

問題5：What are the overlaps and differences in the behavior of legitimate and malicious binaries with respect to the usage of LotL binaries? How would this affect detection by heuristic AV engines?

在使用LotL二進制文件方面，合法和惡意二進制文件的行為有哪些重疊和差異呢？這將如何影響啟發式AV引擎的檢測呢？

雖然惡意樣本和良性樣本之間的LotL二進制使用頻率（prevalence）有一些明顯的差異，但我們也注意到一些類別存在某些相似性，如代理執行（proxied execution）。

最后，我們將注意力集中在高逃逸和高級持續威脅的惡意軟件上，我們發現它利用離地攻擊技術是商用惡意軟件的兩倍。在表1中列出了一些使用LotL技術進行攻擊的APT組織。

• Finally, we focus our attention on highly evasive and Advanced Persistent Threat (APT) malware to find out that it leverages these techniques twice as much as commodity malware.

4.貢獻（Contribution）

據我們所知，本文提出了迄今為止對商用和APT惡意軟件使用LotL技術最大規模的系統分析。本文的核心（core ）貢獻：

• 我們通過測試一組最流行的AV引擎來對抗基于LotL技術部署的惡意載荷，以評估LotL技術的可行性，并展示了離地攻擊檢測的復雜性對行業仍是一個挑戰。即使在披露9個月后，這些技術仍沒有被發現。
• 我們對代表現代商用惡意軟件的幾個數據集進行了大規模的評估，并確定了LotL技術的流行程度，以及在不同惡意軟件家族和類型之間的差異。我們還評估了LotL技術由于假陽性風險可能對行業產生的影響。
• 我們評估了一個APT惡意軟件數據集，并將其公開以促進（facilitate）后續的研究，并確定它執行LotL技術的頻率是商用惡意軟件的兩倍。此外，我們還確定了哪些APT組織最多地使用LotL技術。

二.背景和相關工作

我們首先定義LotL二進制文件，并枚舉惡意軟件使用這些二進制文件的目的。

A.LotL Binaries

近年來，“Living-Off-The-Land binary（LOLbin）”已經成為一個常用詞，用來指在網絡攻擊中廣泛使用的二進制文件。歷史上，“Living-Off-The-Land”一直被用來表示可以為農業或狩獵提供喂養土地或離地的概念。轉換為惡意軟件和入侵領域，攻擊者可能利用那些已經可以使用的文件（即系統上已經存在或易于安裝的）來發起攻擊并躲避檢測。

在本文中，我們將LotL二進制定義為：

• 任何具有公認合法用途的二進制文件，在攻擊期間利用它直接執行惡意行為，或間接協助一系列惡意行動，從而達到惡意結果。

In this paper, we define a LotL binary as any binary with a recognised legitimate use, that is leveraged during an attack to directly perform a malicious action; or to assist indirectly, in a sequence of actions that have a final malicious outcome.

舉例：

• 在Windows系統上默認安裝的二進制文件（binaries installed），如 Reg.exe 、Sc.exe 和 Wmic.exe 是最常被惡意軟件執行的文件。
• 大多數默認安裝的二進制文件都是由微軟認證碼簽名的。認證碼簽名證明二進制文件沒有在編譯中被篡改或修改，這些二進制文件甚至可能被列為白名單。利用可信的LotL二進制文件的惡意軟件可能因此避開殺毒軟件。在Windows系統上使用系統二進制文件可以作為惡意軟件操作的一部分，更重要的是，許多LotL技術使用系統二進制文件來實現這些二進制文件的目的。
• 此外，可以使用外部簽名二進制文件（external signed binaries），如 PsExec.exe 或其他系統內部二進制文件。雖然它們使用頻率不高，但本文的分析也囊括了這些文件。如APT組織在 SoftCell 和 Havex 中都使用 PsExec.exe 來秘密執行遠程命令，從而實現網絡中的橫向移動。
• 某些罕見情況，脆弱的（已簽名）驅動程序被用來升級系統上的權限。這是 RobbinHood 勒索軟件和各種 APT wiper 惡意軟件樣本所使用的一種技術，針對 Saudi Arabian 系統，包括 Dustman 、Shamoon 和 Zerocleare。

可追溯性（Traceability）：

• 某些LotL二進制文件可能會比其他文件留下更多的系統日志，安全工具或取證分析人員可以利用這些日志來檢測惡意操作。例如，可以將Powershell配置為具有全面的日志記錄。
• 微軟甚至建議阻止在系統上執行一些本機的二進制文件，除非有充分的理由。

B.Scope of our Study

在本文中，我們關注的是Windows惡意軟件執行系統二進制文件的目的。這些目的通常包括沿著 kill chain 的進展或逃避AV的檢測。所有這些技術都被部署在系統的用戶空間中。

hollowing 和 injection（注入） 不在我們的研究范圍內，盡管這是無文件惡意軟件部署的常見技術。因為根據我們早期的定義，它們不是LotL技術。

C.Related Work

離地攻擊相關工作較少，并且都非常經典，因此下面羅列了詳細的相關研究，僅供自己后續深入，也希望對您有所幫助。

• LotL惡意軟件及其別名，“advanced volatile threat”或“無文件”惡意軟件在當前的學術文獻中很少被提及。這主要受限于介紹分析少或描述為一個新興的高逃逸惡意軟件變體。
• Li等[31]對惡意PowerShell腳本進行了分析，其中有一個小節專門描述了LotL攻擊和無文件攻擊作為近年來網絡攻擊的趨勢。（作者第17篇博客詳細介紹過PS經典）
• Wang等[72]最近發表的一篇關于數據來源分析的論文指出，Living-Off-The-Land 是一種新興的、突出的逃避型惡意軟件子類（evasive malware subtype）。（經典的You Are What You Do后續即將分享）
• 先前的工作[64]進行了介紹性分析，然而LotL惡意軟件還沒有受到詳細的學術分析。（An emerging threat Fileless malware: a survey and research challenges）
• 賽門鐵克[73,66]和思科Talos的[65]白皮書介紹了這個主題，并對多個數據集的流行性進行了分析。目前，沒有論文對包含多個使用LotL技術的Windows惡意軟件數據集進行大規模地系統分析。（經典）
• https://www.symantec.com/content/dam/symantec/docs/security-center/white-papers/istr-living-off-the-land-and-fileless-attack-techniques-en.pdf
• https://www.symantec.com/content/dam/symantec/docs/white-papers/living-off-the-land-turning-your-infrastructure-against-you-en.pdf
• https://blog.talosintelligence.com/2019/11/hunting-for-lolbins.html

在一些論文中提到了LotL技術，強調了高隱蔽（stealthiness）和APT惡意軟件曾使用。

• 在一篇關于惡意軟件分析工具Yara的論文中，Cohen[9]將LotL描述 “ LotL as a trend that has been recently observed in the tactics used by elite threat actors”，我們的分析結果進一步證實了該說法。
• Hassan等[21]的研究表明，APT惡意軟件使用LotL攻擊策略來實現持續攻擊并分析了兩個活動，他們的工作還利用了MITRE ATT&CK框架[45]，通過MITRE定義了一個描述和分類知名攻擊的分類方法。許多LotL技術在MITRE ATT&CK框架內被索引。Mitre公司及其常見CVE漏洞是安全領域的既定權威，他們囊括并描述許多LotL技術，這樣表明離地攻擊是一個值得深入分析的課題。
• W. U. Hassan, A. Bates, and D. Marino, “Tactical Provenance Analysis for Endpoint Detection and Response Systems,” IEEE Symposium on Security and Privacy, 2020.

強烈推薦一個包含LotL二進制和ATT&CK功能映射的資源：

• https://github.com/LOLBAS-Project/LOLBAS

與我們研究相關的是對基于腳本的惡意軟件分析和去混淆。使用LotL技術的惡意軟件經常使用惡意腳本作為有效負載。（下列論文在作者第16篇PowerShell總結博客中詳細介紹過）

• Ugarte等[67]通過識別可疑行為模式，測試了經 Powershell.exe 二進制調用的惡意腳本。
• Rubin等[61]將機器學習應用于檢測PowerShell惡意軟件（微軟團隊）。
• Curtsinger[11]等人提出了惡意Javascript攻擊的檢測機制——ZOZZLE。

雖然這些論文提出了有效的檢測方法，但是他們都是為狹隘的惡意載荷（payload）所用，他們沒有分析更廣泛的惡意軟件生態系統和這些有效載荷是如何被LotL二進制文件觸發的。

三.MOTIVATION

安全研究人員已經記錄了許多使用LotL技術成功躲避安全產品的案例。在許多情況下，這些LotL二進制文件被用來代理惡意載荷的執行，使其在一個合法的進程上下文中執行，或者作為一個合法系統進程的子進程生成一個新進程。在某些情況下，這些有效載荷作為LotL二進制調用的副作用被執行，而在其他情況下，它只是其主要記錄行為的結果。此外，許多殺毒產品未能正確檢測到這些技術。

為了回答第一個問題，我們首先分析了當前AV產品是否將LotL技術作為惡意行為的指標。

為此，我們首先選擇了10個具有代表性的AV產品（詳見附錄C），并利用常見基于LotL的代理執行技術來實施反彈Shell的模擬攻擊。此外，本研究的目的不是測試任何特定AV產品的檢測能力或將它們相互比較，而是確定是否存在普遍的檢測差距。

• 實驗在聯網的Windows 10虛擬機執行，并將最新的本地AV產品連接到它們的云組件。
• 利用一個反彈Shell來評估AV系統在部署LotL技術的惡意軟件中有多脆弱。本文認為能夠允許遠程執行命令的reverse shell是成功執行代碼的證明，這與許多遠程訪問木馬（RAT）功能相同。
• 通過從不同LotL二進制文件中運行這個反彈shell來進行實驗，以測試AV產品是否檢測到離地攻擊技術是惡意的。
• 我們在必要時混淆了反彈shell的有效載荷，并使用各種有效載荷類型來測試AV檢測傳遞機制本身的能力，而不是通過靜態簽名傳遞的特定有效載荷（詳見附錄D）。

實驗結果如表2所示：

• 可以發現大部分的AV引擎允許我們建立一個反彈Shell并執行命令，它們并沒有檢測出利用LotL技術的惡意軟件，60個中只檢測出4個。

Responsible Disclosure and Response.

此后，我們向相關的AV供應商發布了一份文件，包含我們檢查的結果并協助補救。9個月后，我們在Windows 10機器上重復了類似的測試，這允許我們測試AV供應商是否在他們的產品中包含了新的啟發式規則來檢測LotL二進制的使用。其結果如下：

• 可以發現在60個相同的有效載荷中檢測到了25個
• 在檢測到的反彈shell測試中，我們修改了載荷（利用混淆或運行不同的載荷），同時為LotL二進制文件保持了完全相同的命令行參數，通過利用這些混淆和修改的有效載荷，我們成功地在這25個被攔截的實例中的19個執行了一個反向shell。

實驗結果表明，LotL技術仍然是殺毒軟件供應商面臨的一個重大挑戰。合法用戶通常以不可預知的方式使用這些工具，而安全公司很難在沒有誤報的情況下部署有效的檢測策略。

接下來將展示這些技術如何在商用惡意軟件中是普遍存在的，以及離地攻擊是不應該被安全社區忽視的問題。

四.離地攻擊流行性評估

在本節中，我們測量了惡意軟件中LotL技術的流行程度，并試圖回答所提出的研究問題。

A.Dataset Composition

評估工作是在9個獨立的子數據集上進行的。我們總共收集了31,805,549個樣本，其中我們從VirusTotal（VT）中獲得了16,048,202份行為報告。

• To be as comprehensive as possible, we obtained public and private datasets from different sources.

Public Datasets

公共惡意軟件數據集，包括商用惡意軟件、VirusShare語料庫的二進制文件、窗口惡意PE文件、佐治亞理工學院發布的可執行文件、VX-Mumbal和MalShare共享的樣本（兩個重點的共有數據集）。

• https://impactcybertrust.org/dataset{ }view?idDataset=1143
• https://vx-underground.org/samples.html
• https://malshare.com

VirusTotal Balanced Dataset

從VT中收集了237,288個hash值，利用 AVClass 預處理代碼和打標簽（家族分類），并平衡數據集中每個族。

APT Malware

我們根據一種類似于數據集論文dAPTaset[59]的方法收集了一個APT惡意軟件的數據集。我們處理了HTML頁面和pdf文件（APTnotes），并提取了這些文件中包含的所有惡意軟件的hash值。

• https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-rezaeirad.pdf
• https://github.com/aptnotes/data

Yara Rule Match Malware

部署3個Yara規則來檢測LotL二進制文件，并使用Livehunte來識別上傳到VT的新的惡意軟件hash，并使用LotL技術匹配惡意軟件的行為特征。

B.Analysis Pipeline

當收集了由Windows PE二進制文件組成的不同數據集，我們就分析樣本的行為。包括三個階段：

• data collection
• data augmentation
• data analysis

First Seen：首次發現病毒樣本的時間戳

AVClass Family：某惡意軟件樣本所屬家族

Behavioural Report：惡意行為報告，由特定惡意軟件樣本執行的進程和Shell命令的列表

C.LotL Technique Identification

數據準備就緒，那么如何識別是否使用了LotL技術呢？

我們使用模式匹配來識別惡意軟件執行過程中對LotL二進制文件調用的情況，從而處理所有收集到的行為報告（behavioural reports）。行為報告包括兩個指標：

• Shell Commands（Shell命令）
• 惡意二進制文件在主機操作系統中執行的Shell命令，Shell命令日志可以通過引用系統二進制文件的絕對路徑來顯示它的執行情況。同時，Windows的命令提示符還包括許多別名，例如Reg.exe的reg。
• Processes（進程）
• 進程日志明確由惡意軟件樣本執行的系統二進制文件。執行的參數也包含在行為報告中的進程日志中。

在我們的分析中，如果一個樣本的行為報告包含至少一個LotL二進制文件的執行，那么它使用了LotL技術。我們記錄了每一個LotL的執行及其參數細節，并將它們插入到數據庫中。然后，我們分析了這些惡意軟件樣本的參數，以確定每個數據集中最常見的參數類型和執行目的。

具體而言，我們確定了這兩種獨立類型的二進制文件：

• Default System Binaries
• Installed Signed Binaries

Pattern Matching Refinement

模式匹配方法在不斷改進，直到所有識別的LotL命令被正確分類和映射到執行目的，并進行了數據清洗處理。

• 不帶參數的二進制執行移除
• 沙箱產物刪除（如Explorer.exe和sha256），Web訪問不處理
• 刪除Verclsid.exe的實例

D.Parameter Analysis to Identify Execution Purpose

為了確定LotL技術的執行目的，我們觀察了惡意軟件樣本提供的參數。

圖1說明了四個進程執行的映射。該映射通過識別單獨的執行目的來在所有數據集上實施，例如執行Net.exe時使用stop參數表示任務停止。在將單個命令映射到執行目的之后，我們將為該二進制文件選擇所有匹配的執行。我們在所有系統二進制執行中重復該步驟，直到每次執行被分類為屬于特定的執行目的或被錯誤分類。

按照這種方法，我們按目的將參數分為9個獨立的類別。

首先是三種與執行有關的類型：

• Proxied Execution
• 代理執行，如Mshta.exe執行.hta文件，Rundll32.exe執行.dll文件
• Persistence
• 如果惡意代碼配置或修改系統以在未來某個時間點執行命令或存儲的作業，那么它就實現了持久性，比如Sc.exe帶有創建參數的Bitsadmin.exe，或帶有日期時間參數的Schtasks.exe/At.exe
• Delayed Execution
• 延遲執行，比如 Ping.exe執行-n

接著是三類與底層系統組件的修改有關。惡意軟件通常從事這種行為，以便在機器上對目標進行進一步的傳播或行動。

• Firewall Modification
• 防火墻修改，如Netsh.exe
• Registry Modification
• 注冊表修改，如Reg.exe
• Permissions Modification
• 權限修改，如Cacls.exe修改文件權限

最后是與執行或系統修改無關的三類。

• File Opening
• 打開文件，如Explorer.exe
• Reconnaissance
• 偵察，觸發本地或遠程配置的橫向移動，如Net.exe
• Task Stopping
• 使用LotL二進制文件秘密停止另一個進程或服務，如Taskkill.exe

五.評估結果

A.商用惡意軟件中LotL技術的流行性（Prevalence）

Relative Prevalence Between Datasets.

圖2顯示了在每個數據集中使用LotL技術的惡意軟件樣本的百分比。

• 如果省略Ember良性數據集和APT惡意軟件數據集（最小值和最大值），我們可以觀察到，5.42%到12.72%的商用惡意軟件樣本至少使用了一次LotL技術。
• 在VT平衡數據集中，我們可以觀察到9.6%的樣本利用了這種類型的技術。
• APT數據集使用LotL技術的頻率明顯高于商用惡意軟件。26.26%的APT數據集使用了LotL技術，是類似的商品惡意軟件數據集的兩倍多。

這些數字表明，LotL技術是一個普遍的現象，尤其是APT攻擊中。

Most Frequently Used LotL Binaries

表5顯示了商用惡意軟件數據集中最常執行的LotL二進制文件。

• VT數據集中最常用的二進制文件是Reg.exe、Nslookup.exe、Regasm.exe、Runas.exe、Schtasks.exe和Sc.exe。
• 其中一些二進制文件用于系統管理任務，如編輯注冊表或創建計劃任務；其他的則用于更改或提升特權，或啟用網絡活動。

值得注意的是，某些二進制文件在不同的數據集之間顯示了不同的分布。這意味著盡管LotL技術是在惡意軟件編寫中被廣泛使用，但它們在惡意軟件家族或惡意軟件類型中以異構的方式使用。

Parameters and Execution Purpose

我們還通過解析最常用的LotL二進制文件的參數來確定出現它們的執行目的。圖3顯示了執行目的的結果分布。

• 最常見的目的是代理執行、偵察、任務停止和修改注冊表。
• 我們還可以觀察到，數據集之間有顯著的變化，如預期的結果表5所示。這些結果表明，惡意軟件使用LotL二進制文件不僅秘密執行其他代碼，也通過注冊表修改修改底層操作系統，使橫向移動通過偵察，或避免其他軟件運行在系統中。

Malware Families

我們確定了一些利用LotL技術的常用惡意軟件家族，惡意軟件采用的LotL二進制代碼非常少，我們將這種分類限制在包含至少100個樣本的家庭。圖4顯示了AVClass報告的家族數量，其樣本使用LotL技術技術的特定百分比。

• 大量的家族沒有使用LotL二進制文件，而少數家族呈現出這些技術的高流行率。這意味著，雖然總體上大量采用了LotL技術，但這些技術的使用主要集中在有限數量的家族中。

B.Comparison of Benign and Malicious Samples

我們已經觀察到，LotL技術在商用惡意軟件和APT活動中都是一種普遍的現象，盡管在惡意軟件類型或家族之間可能存在一些差異，但很明顯，安全行業不應該忽視這種威脅。考慮到這一點，我們提出了另一個問題：

• 為什么一些安全產品難以檢測這些技術？

在本文的開頭，我們確認了許多AV產品不能有效地檢測這些二進制文件的使用，并且對我們披露的信息響應后，其檢測機制仍然非常容易出現假陽性。在本節中，我們將比較合法軟件中使用LotL二進制文件的情況。

表VI顯示了良性數據集中最常執行的二進制文件。

• Regsvr32.exe、Sc.exe和Rundll32.exe是最常用的執行二進制文件之一，所有這些文件都用于執行代碼。我們可以注意到，惡意軟件（表V）和良性軟件（表VI）最常執行的二進制文件有顯著差異。

圖5顯示了利用LotL技術按執行目的進行分組的示例。

• 我們觀察到，雖然某些執行目的在惡意二進制文件中比在良性二進制文件中更為普遍（如偵察、持久性和注冊表修改），但對其他二進制文件則有相反的趨勢。例如，在惡意軟件和良性軟件中，最常見的目的是代理執行，這一發現與我們在第三節中的觀察結果相關聯。
• 結果表明，這些行為模式對啟發式AV算法的創造者提出了重大挑戰。這也反映在一些供應商對我們負責披露的反應上，即假陽性風險明顯很高。
• 這一發現還同時說明，并非所有的LotL二進制文件在良性軟件和惡意軟件中都同樣普遍，因此AV供應商仍然有機會創建啟發式規則來識別在良性軟件中不那么流行的技術類型。

C.Prevalence of LotL techniques in APT Malware

我們觀察到LotL技術在APT惡意軟件中明顯比商品惡意軟件更頻繁（見圖2）。接下來我們專注于APT惡意軟件的評估。

首先，我們展示了使用LotL二進制文件比例最高的特定APT活動，并根據威脅情報報告對它們進行分組。我們還列舉了APT惡意軟件最常利用的LotL二進制文件。表7列出了我們在APT數據集中觀察到的最常見的LotL二進制文件。

• APT惡意軟件使用了許多與商用惡意軟件相同的二進制文件，其中Ping.exe是最常見的一個。
• 我們觀察到APT惡意軟件主要使用LotL技術來延遲和代理執行，以及偵察。這可能在一定程度上反映了APT惡意軟件旨在實現隱蔽的橫向移動和泄漏數據。

表8顯示了一些大量使用LotL技術的APT活動，這些活動來源于行為數據的威脅情報報告。值得注意的是，一些APT組有多個活動和樣本，如APT28和Keyboy。

• 這表明APT組織在多個活動中使用了LotL技術。
• 

六.案例分析

在本節中，我們將調查并描述來自數據集中的兩個勒索軟件（ransomware）家族：

(1) Gandcrab

我們在本地沙箱環境中執行了Gandcrab勒索軟件樣本，并記錄了所執行的命令。其使用的LotL二進制文件如下。我們使用Nslookup.exe二進制文件觀察了家族中的其他樣本，傳遞一個參數“gandcrab.bit”或一個類似的域。

C:\ Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet
C:\ Windows\System32\cmd.exe /c wmic shadowcopy delete

(2) Cerber

除了通過LotL二進制文件進行代理執行外，我們還觀察到了Cerber正在使用的其他規避技術，如進程注入。與其他勒索軟件家族不同，Cerber不刪除副本。然而，我們注意到了一個特別復雜的代理執行鏈，即Wscript.exe和Rundll32.exe依次執行一個惡意的 “.vbs” 和 “.dll” 文件。

我們還觀察到，Cerber通過Ping.exe延遲執行，并修改注冊表以實現持久化。它將一個惡意的 “.vbs” 文件添加到下面的注冊表項中，這意味著每次用戶登錄時都會運行這個惡意腳本。

• HKEY_CURRENT_USER\Software\Microsoft\Windows

我們還注意到一些Cerber樣本調用Mshta.exe來打開hta文件。

C:\Windows\System32\WScript.exe C:\Users \admin \enYXval36C\38oDr5.vbs
C:\Windows\System32\Rundll32.exe 8ivq.dll arzy949
C:\Windows\System32\cmd.exe /c ping 127.0.0.1 && reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce /v enYXval36C /t REG SZ /d C:\enYXval36CenYXval36C\enYXval36C.vbs /f
C:\ Windows\System32\mshta.exe ransom.hta

我們還描述了兩個APT惡意軟件組織：

• Turla
• GreyEnergy

APT組織Turla顯示了LotL技術的利用演變，而GreyEnergy參與了對烏克蘭電網的高度破壞性攻擊。我們手動分析了這些樣本中的LotL二進制文件。

C:\ Windows\SysWOW64\Rundll32.exe {64F97CDC...FAB40CA\}.db #1 #1}
C:\ Windows\System32\cmd.exe /c ( ping localhost >> nul & del $path \ grey3.exe >> nul )

圖6顯示了APT組織Turla越來越多地采用LotL技術，比如兩個連續的模塊化高逃逸木馬，即Cobra（2014）和Mosgodo（2018）。

• 掩蓋惡意dll，更換后綴通過rundll32執行
• 刪除自身移除取證

七.要點和討論

我們的結果證實了LotL技術不是一個不可忽視的現象。雖然有幾篇技術文章涵蓋了這個主題，但我們的系統評估會進一步促進對商用惡意軟件采用這種技術的理解。在本文中，我們檢查了幾個不同的惡意軟件數據集，并進行了一個AV評估實驗，其中我們確認了幾種已記錄的LotL技術的低檢測率。根據這些結果，我們可以得出以下結論：

• 我們測試的幾乎每一個流行的AV產品都難以檢測到LotL二進制文件的惡意使用。即使很負責地向每個供應商披露這些問題后，也只有一小部分供應商成功優化了檢測機制。其中一些供應商針對我們的特定惡意載荷實現了檢測機制，但沒有實現交付機制本身。其他報告說，由于存在禁止性的假陽性風險，實施此類對策具有挑戰性。
• 為了糾正這一檢測差距，我們與AV供應商合作，以提高其檢測能力。例如，卡巴斯基實現了由我們披露所產生的檢測，如 Trojan.Win32.Lolbas.btad.exec 和 TrojanSpy.Win32.Agent.ftps。我們還發布了Yara規則來幫助檢測LotL技術。此外，我們的研究表明，良性樣本和惡意樣本之間的執行目的存在差異，為檢測算法的發展提供了一個方向。事實上，最近的論文[71, 21]探索了這條有前途的研究路線，以克服現有安全產品的局限性。
• 在一些描述中，LotL技術專門指可以實現AV逃逸方法的子集。然而在本文中，我們采用了更廣泛的范圍，并觀察到在AV平衡數據集中，9.6%的惡意軟件使用本地系統二進制來執行惡意行為。
• 關于執行目的，我們觀察到LotL二進制文件不僅用于代理執行或逃逸，而且還用于實現常見的惡意例程，如延遲執行、修改系統配置、持久化或停止安全服務。
• 據AVClass工具報道，不同家族中LotL技術的流行率存在很大的差異。然而我們可以觀察到，大多數家族的流行率較低，而少數家族使用這些技術的流行率要高得多。這意味著這些技術足夠普遍，可以被某些惡意軟件的作者所采用，但并不是在惡意軟件中實現惡意功能的唯一或最普遍的方式。
• 合法軟件使用的LotL二進制文件要少于惡意軟件，盡管這些二進制文件用于不同的目的，但其流行程度足以使惡意使用的準確檢測成為安全供應商面臨的挑戰。相反，在APT攻擊中利用LotL二進制文件是普通商用惡意軟件的兩倍。

鑒于這些證據，我們可以得出結論，LotL技術在當前最先進的惡意軟件中得到了重要的應用，從檢測的角度來看，它們代表了安全行業的一個挑戰。通過這篇論文，我們試圖闡明這一現象，并提高研究界對這個開放問題的認識。

• LOLBAS Project Contributions.

八.局限性和未來工作

Intended or Unexpected Functionality.

測量結果沒有區分二進制文件的標準功能和利用副作用來實現某些結果的非標準使用。例如一個預期使用

Netsh.exe修改防火墻規則，而意外使用Netsh.exe運行.dll。

局限性：

• Anti-VM Malware.
• 由于數據來自于云中托管的動態分析沙箱，惡意軟件使用的反虛擬機規避技術可能會影響數據質量。我們通過排除在沙箱中執行最少或執行過程中崩潰的惡意軟件樣本來減輕這種情況。這可能會影響數據質量，因為使用反虛擬機技術的規避惡意軟件并不能顯示其實際行為。因此，我們可能低估了使用LotL二進制文件樣本的數量。然而，我們的數據是這種技術流行程度的一個下限，并證明了這是一個不應被忽視的重要現象。
• Human Operators.
• 許多使用LotL技術的攻擊者都是執行遠程Shell、攻擊性安全工具、PowerShell、VisualBasic或批處理腳本的人員。雖然有類似案例的民間證據，但很難像我們那樣對一個有代表性的數據集進行測量研究。相反，我們縮小了論文的范圍，并專注于惡意軟件對LotL二進制文件的使用。我們展示了這種現象是不可忽視的，惡意軟件作者也在他們的二進制文件中利用這些技術，而不僅僅是在開發后的腳本中。

后續工作：

• Linux LotL
• 未來的研究方向是探索這些技術在Linux系統上的使用（名為GTFObins[19]）。與Windows上的LotL技術類似，這些二進制文件可以用于實現惡意功能。雖然Linux惡意軟件沒有Windows那么多，但由于運行輕量級Linux系統的物聯網僵尸網絡的興起，它是一個值得分析的主題。
• Detection
• 該領域的另一個未來研究方向是檢測技術的部署，這些技術試圖準確地捕獲LotL技術的識別使用模式，如端點檢測和響應（Endpoint Detection and Response，EDR）系統。未來的研究應該利用最近關于進程執行鏈的數據來源分析的工作[71,21]，以實現對合法進程關系的建模和識別可疑的行為模式。

九.個人感受

寫到這里，這篇文章就分享結束了，再次感謝論文作者及引文的老師們。接下來是作者的感受，由于是在線論文讀書筆記，僅代表個人觀點，寫得不好的地方，還請各位老師和博友批評指正，感恩遇見，讀博路漫漫，一起加油~

個人總結：

這篇文章屬于系統分析類的文章，通過詳細的實驗分析了離地攻擊（Living-Off-The-Land）的威脅性和流行度，包括APT攻擊中的利用及示例代碼論證。這類評估類的文章感覺比較難寫，反正我很難寫出來，但非常值得學習，感謝作者們的分享。同時，論文的研究背景、五個問題拋出、再到數據集采集、實驗論證、回答問題、圖表比較以及寫作都非常棒，工作量是非常大，譬如常用10種AV引擎的評估以及九個月后的再次驗證實驗，就可以看到其工作量及貢獻（LotL技術很難被發現）。

具體貢獻如下：

• 這篇論文應該算是LotL系統分析的開山之作，本文提出了迄今為止對商用和APT惡意軟件使用LotL技術最大規模的系統分析。在這之后可能會吸引更多的安全從業者將目光投向這個領域。
• 本文通過最流行的AV引擎進行評估，以驗證LotL技術部署在惡意載荷中的可行性及流行度，并展示了離地攻擊檢測的復雜性對行業仍是一個挑戰。即使在披露9個月后，這些技術仍沒有被發現。
• 我們對代表現代商用惡意軟件的幾個數據集進行了大規模的評估，并確定了LotL技術的流行程度，以及在不同惡意軟件家族和類型之間的差異。我們還評估了LotL技術由于假陽性風險可能對行業產生的影響。
• 我們評估了一個APT惡意軟件數據集，并將其公開以促進（facilitate）后續的研究，并確定它執行LotL技術的頻率是商用惡意軟件的兩倍。此外，我們還確定了哪些APT組織最多地使用LotL技術

同時，我們回過頭來再看看作者提出的五個問題，以及它是如何進行實證分析的，這也是本文的精髓。

問題1：LotL技術能有效地逃避目前大部分安全廠商的殺毒軟件檢測嗎？

通過10種最流行AV引擎檢測六種類型LotL樣本論證（表2和表3），目前安全廠商的殺毒軟件很難檢測，即使在披露9個月后，這些技術仍沒有被發現。

問題2：在惡意軟件中使用LotL二進制文件的情況有多普遍？

通過公開數據集和私有數據集以及APT數據集論證了LotL技術是一個普遍的線性，并且APT數據集使用LotL技術的頻率明顯高于商用惡意軟件（圖2）。26.26%的APT數據集使用了LotL技術，是類似的商品惡意軟件數據集的兩倍多。

問題3：惡意軟件的二進制文件使用LotL技術的目的是什么？

通過解析最常用的LotL二進制文件的參數來確定出現它們的執行目的。圖3顯示了執行目的的結果分布，最常見的目的是代理執行、偵察、任務停止和修改注冊表。此外，表5顯示了商用惡意軟件數據集中最常執行的LotL二進制文件，VT數據集中最常用的二進制文件是Reg.exe、Nslookup.exe、Regasm.exe、Runas.exe、Schtasks.exe和Sc.exe。

問題4：哪些惡意軟件家族和類型使用LotL二進制文件最多，它們的使用情況又有何不同？

通過確定一些利用LotL技術的常用惡意軟件家族，圖4顯示了AVClass報告的家族數量，其樣本使用LotL技術技術的特定百分比。研究發現，大量的家族沒有使用LotL二進制文件，而少數家族呈現出這些技術的高流行率。這意味著，雖然總體上大量采用了LotL技術，但這些技術的使用主要集中在有限數量的家族中。

問題5：在使用LotL二進制文件方面，合法和惡意二進制文件的行為有哪些重疊和差異呢？這將如何影響啟發式AV引擎的檢測呢？

某些執行目的在惡意二進制文件中比在良性二進制文件中更為普遍（如偵察、持久性和注冊表修改），但對其他二進制文件則有相反的趨勢，這些行為模式對啟發式AV算法的創造者提出了重大挑戰。同時，并非所有的LotL二進制文件在良性軟件和惡意軟件中都同樣普遍，因此AV供應商仍然有機會創建啟發式規則來識別在良性軟件中不那么流行的技術類型。

此外，本文還分析了APT數據集中觀察到的最常見的LotL二進制文件以及真實的APT案例。我們觀察到APT惡意軟件主要使用LotL技術來延遲和代理執行，以及偵察。這可能在一定程度上反映了APT惡意軟件旨在實現隱蔽的橫向移動和泄漏數據。

這篇文章就寫到這里，希望對您有所幫助。由于作者英語實在太差，論文的水平也很低，寫得不好的地方還請海涵和批評。同時，也歡迎大家討論，繼續加油！感恩遇見，且看且珍惜。

(By:Eastmount 2022-05-04 夜于火星 )

最后給出幾段經典的句子：

• To illustrate the evasive potential of LotL techniques, we test the usage of LotL techniques against several fully patched Windows systems in a local sandboxed environment and show that there is a generalised detection gap in 10 of the most popular anti-virus products.
• Malware development and detection is a cat and mouse game, in which malware authors are continuously developing new techniques to bypass detection systems. Security products such as anti-virus (AV) implement static and heuristic analysis technologies to detect, classify and prevent malware from effective execution [5].
• From a defender’s point of view, it is crucial to understand these attacks and study their trends in order to be able to react in a timely manner. One evasive tactic that has become popular among both red teams and malware authors is the usage of Living-Off-The-Land (LotL) techniques.
• By leveraging these tools, an attacker can achieve registry modification, gain persistence, conduct network or system reconnaissance or perform a proxied execution of other malicious code. They can even be used to reduce the event logs generated by malicious activity without needing additional files to be downloaded onto the system.
• In fact, LotL binaries are quite often used by system administrators and advanced computer users to perform system administration tasks, making it extraordinarily difficult to distinguish between legitimate and malicious behavior even for a trained analyst.
• Finally, we focus our attention on highly evasive and Advanced Persistent Threat (APT) malware to find out that it leverages these techniques twice as much as commodity malware.
• We assess the evasiveness of LotL techniques by testing a representative set of most popular AV engines against malicious payloads deployed via LotL techniques, showing how the detection complexity of LotL represents a challenge for the industry. Even nine months after disclosure, these techniques are still not successfully detected.
• We conduct a large-scale measurement study across several datasets that are representative of modern commodity malware. We determine the prevalence of this technique and the differences among different malware families and types. We also assess the impact that LotL techniques might have in the industry due to false positive risk.
• We evaluate a dataset of APT malware, which we make public to facilitate further research and ascertain that it executes LotL techniques twice as frequently as commodity malware. We also identify which APT groups use LotL techniques the most.
• We have observed that LotL techniques are a widespread phenomenon both in commodity malware and APT campaigns, and although there might be some differences across malware types or families, it is clear that the security industry should not overlook this threat.