Survivalism: Systematic Analysis of Windows Malware Living-Off-The-Land

https://ieeexplore.ieee.org/document/9519480

恶意软件探测算法变得越来越复杂,恶意软件作者也会使用同样复杂的方法逃避检测。相关证据表示,Living-Off-The-Land(LotL)是很多恶意软件攻击中使用的主要逃避技术,这些技术利用操作系统上已经有的程序执行恶意行为。本文对使用这些技术的Windows恶意软件进行了大规模系统化的调查。在几个恶意软件数据集中,作者分析了这种技术有多广泛。一共31,805,549个样本,其中9.41%利用了LotL技术。APT恶意样本中有26.26%使用这个技术。为了测试潜在的LotL技术,本文在几个打补丁的Windows系统上,使用本地沙箱进行了测试,在10种最流行的反病毒(AV)产品中存在检测差距。

介绍

LotL技术即利用系统上已经安装的,合法的程序执行后渗透操作。通过这种技术,攻击者可以修改注册表,持久化,网络或系统侦查,代理执行其它恶意软件。还可以减少恶意活动的事件日志,因为不需要额外下载文件。

和混淆技术不同,LotL在网络上有详细文档,会被各种人使用。PoshSpy是第一个被检测到使用LotL技术的恶意模块,尤其是powershell和Windows基础设施。伊朗的APT33,APT34也会经常利用Windows原生程序。

目前LotL技术没有明确定义,大多数在blog中出现。或者是恶意攻击者的技术性描述。

本文分析了商业LotL恶意软件,实现描述了LotL二进制程序是什么,如何被攻击者利用。研究目标是Windows平台。

本文研究以下问题

  1. LotL技术能否有效逃避商业AV?评估了一族商业产品,发现一些熟悉的技术依然可以逃避检测。由于系统管理员也使用LotL技术,因此很难区分合法和恶意软件。
  2. 在恶意软件中LotL有多流行?
  3. 恶意软件为什么使用LotL?
  4. 哪个恶意软件家族使用LotL最多,它们之间有何不同?
  5. 合法和恶意程序使用LotL时有何不同?这会如何影响启发式AV引擎检测恶意软件?

贡献

  • 通过使用LotL恶意payload测试最流行的商业AV评估LotL技术的逃逸能力,展示了工业界检测LotL恶意软件的挑战。即使已经暴露9个月的恶意软件,也很难成功检测。
  • 在几个有代表性的数据集上进行了测试,确定了这种技术的流行和使用该技术的恶意软件家族、以及家族之间的不同。还评估了LotL技术给工业界造成的影响,主要是假阳性风险
  • 评估了APT恶意软件数据集,发现比一般商业软件使用频率高一倍,还识别了使用LotL技术最多的APT组织。

AV VS LotL

作者利用一个Reverse Shell测试,最终结果如下

汇报给厂商之后

LotL技术的广泛性

本文使用的数据集如下

检测LotL技术的方法如下

  • Shell命令:恶意软件执行的命令
  • 进程:恶意软件执行的进程

使用LotL技术的恶意软件的相对丰富度

利用LotL技术的恶意软件特征

恶意软件利用LotL技术执行的动作

不同家族中使用LotL技术的不同

APT和LotL

APT经常利用的LotL二进制文件

APT使用LotL技术的频率

未来研究方向

  • Linux LotL:和Windows类似,也可以实现恶意功能。虽然不如Windows多,但是随着僵尸网络的兴起,也是一个值得研究的主题
  • 检测技术:例如端点检测和响应(EDR)技术,可以利用关于流程执行链的数据来源分析工作,以实现合法关系的建模和可疑行为模式的识别(Q. Wang, W. U. Hassan, D. Li, K. Jee, X. Yu, J. Rhee, et al., "You Are What You Do : Hunting Stealthy Malware via Data Provenance Analysis", Network and Distributed System Security Symposium, February, 2020, [online] Available: https://www.ndss-symposium.org/wp-content/uploads/2020/02/24167.pdf. W. U. Hassan, A. Bates and D. Marino, "Tactical Provenance Analysis for Endpoint Detection and Response Systems", IEEE Symposium on Security and Privacy, 2020, [online] Available: https://whassan3.web.engr.illinois.edu/papers/rapsheet-oakland20.pdf.)