Symantec Adaptive Protection自適應防護實測證明:4 秒內快速阻擋「LOTL 就地取材攻擊」
- Mark Kennedy
- 2024年10月2日
- 讀畢需時 4 分鐘
已更新:2024年10月4日
當我們想到網路攻擊者常用的攻擊載具時,通常會聯想到一些可疑或感染的網站,或是攻擊者編寫的惡意軟體。但如今,網路犯罪者開始轉向更精巧的手法,他們利用合法的商業應用程式來隱藏惡意行為,這種技術讓他們「在陽光下作惡」,使用合法的程式來進行非法操作。
💡Living-off-the-Land, LOTL就地取材攻擊是什麼? Living Off the Land (LOTL),中文通常翻譯為就地取材攻擊,是指攻擊者不使用傳統的惡意軟體或外部工具,而是利用目標系統內已經存在的合法工具、功能或軟體來發動攻擊的手法。這類攻擊方式因為使用的是目標系統內部合法的工具或程式,因此更加隱秘,難以被傳統的防護系統發現和攔截。 常見的 LOTL 攻擊工具包括:Windows 作業系統元件(如 PowerShell、WMI、PsExec 等)、遠端桌面軟體(如 AnyDesk、Atera、Splashtop、ConnectWise 等)
這些工具本來是為了管理系統或進行日常操作而設計的,但攻擊者利用它們來達到惡意目的,例如橫向移動、取得更高權限、執行惡意指令或植入勒索軟體。由於 LOTL 攻擊不需要安裝新的惡意程式,傳統防毒軟體或安全系統可能會錯過它們,因為這些工具本身並不被視為惡意軟體。因此,這類攻擊的隱蔽性和難以偵測性使它成為現今網路安全中的一大挑戰。
趨勢變化:善用合法工具的「就地取材攻擊」(LOTL)
根據 賽門鐵克2024年的《勒索軟體威脅報告》,這種利用合法工具進行攻擊的趨勢明顯上升,這類攻擊被稱為「就地取材攻擊」(LOTL)。從2021年到2023年,近一半的勒索軟體攻擊都是通過這些技術實現的。而且,六種最常用於所有勒索軟體攻擊的工具中,有六成是合法軟體,像是 Windows 作業系統元件、PsExec、PowerShell、WMI 以及遠端控制工具如 AnyDesk、Atera、Splashtop 和 ConnectWise 等,都成為攻擊者的首選。
系統管理員面臨的挑戰
系統管理員依賴這些工具來維持系統運作的穩定和安全,這使得他們難以分辨正常操作和潛在惡意活動之間的區別。這正是攻擊者所利用的漏洞,也因此,Symantec賽門鐵克的工程師開發了「Adaptive Protection 自適應防護」技術來應對這一挑戰。
什麼是Adaptive Protection 自適應防護?
Adaptive Protection自適應防護是賽門鐵克端點安全解決方案(Symantec Endpoint Security,SES)中的一個獨特功能。它能夠學習組織或部門的日常行為模式,並阻擋那些超出這些模式的異常操作。它透過行為分析自動學習並套用例外情況,涵蓋已觀察到的使用模式,並封鎖不符合正常使用範圍的操作,而不會對認可的工作流程和行為產生影響。
這項技術大幅簡化了安全團隊的工作,因為它可以縮小攻擊面,並識別 LOTL 攻擊的異常行為。
擁有這項端點安全功能的團隊能夠:
監控並識別組織或個別群組內的正常行為
建立允許正常行為並封鎖異常行為的政策框架,即使是正常行為的變體也能被封鎖
減少攻擊面
加速潛在威脅的偵測
這聽起來很棒吧?現在來看看它是如何運作的。
自適應防護如何運作?
當自適應防護被部署在企業環境中後,首先會學習正常的行為操作,然後對每次出現的行為進行監控和標記(不會立即封鎖)。經過 90、180 或 365 天的觀察期後,管理員可以查看這些操作是否曾經出現過,並決定是允許還是封鎖這些行為。管理員可以放心地阻止從未見過的行為,而不必擔心對環境和使用者造成負面影響。
事實上,自適應防護能封鎖超過 450 種獨立操作。例如,如果 Microsoft Word 運行 PowerShell 而這種行為不屬於正常操作範圍,自適應防護就能將其封鎖。這組被允許的操作構成該組織的政策。
減少攻擊面,阻擋 LOTL 攻擊
對於安全團隊而言,自適應防護不僅允許合法的操作,還能同時封鎖那些不屬於正常範疇的合法操作,這樣可以有效縮小攻擊面,阻止攻擊者利用 LOTL 技術進行的攻擊。事實上,它甚至能夠在傳統安全系統發現威脅之前,就率先阻擋這些攻擊。
要更詳細地了解自適應保護的工作原理, 請閱讀白皮書。
自適應防護經過嚴格測試
那麼,自適應防護在真實環境中表現如何呢?答案是表現出色,並且有具體的數據證明。
賽門鐵克最近與 MRG Effitas 合作進行了嚴格的測試,MRG Effitas 是一家專門測試網路安全解決方案的公司,擁有先進的測試環境 Tempus,能夠有效評估端點保護產品(EPP)應對最新威脅的能力。測試模擬了真實的企業環境,目的是評估自適應防護能否在攻擊的早期階段進行有效阻擋。
測試結果:快速檢測,贏得先機
測試結果顯示,自適應防護能有效縮小攻擊面,並阻擋攻擊者的行動。測試中,自適應防護在偵測潛在威脅時,較沒有安裝這項技術的系統快了4秒。這種早期偵測優勢讓安全團隊有更多時間來處理威脅,並進一步提升了整體防護效果。
我們與您同行
隨著攻擊者不斷改變策略,我們的防護技術也在不斷演進。我們將繼續開發更好的解決方案,應對不斷變化的安全挑戰。這次的測試證明,自適應防護是當前對抗 LOTL 攻擊的關鍵武器,我們也將持續引領業界,提供更高效的防護措施。
如果您對這次測試有更深入的興趣,賽門鐵克的技術總監 Liam O’Murchu 和 MRG Effitas 的技術長 Zsombor Kovacs,將在即將於都柏林舉行的 Virus Bulletin Conference 上,分享這次測試的詳細結果,並討論如何在不影響業務操作的情況下,阻止就地取材攻擊。
原始文章來源 Symatnec Enterprise Blogs
Comments