NovVista Tech Brief

Global tech intelligence, tools, and practical AI workflows.

Security & Infrastructure

就地取材:为何攻击者不再需要恶意软件

ByMichael Sun

Apr 2, 2026 #cybersecurity, #detection, #malware, #security, #threat-intelligence
Language:Chinese VersionEnglish Version

网络安全行业已经花费数十年时间构建更好的恶意软件检测系统。防火墙、防病毒引擎、沙箱、EDR平台——数十亿美元投资于识别和中和恶意软件。而且这在一定程度上是有效的。现代恶意软件检测已经相当复杂。而这正是攻击者停止使用恶意软件的原因。

IBM X-Force的2026年威胁情报指数证实了安全研究人员多年来一直警告的事情:威胁行为者正越来越多地放弃定制恶意软件,转而使用合法的管理工具、本机操作系统二进制文件和每个目标系统上已存在的实用工具。这种技术被称为”就地取材”(Living Off the Land),它正在从根本上重塑威胁格局。

什么是”就地取材”

这个概念非常简单。与其交付安全工具旨在检测的恶意载荷,攻击者使用目标系统上已安装的工具——这些工具是受信任的、由合法供应商签名、并且预期正在运行的。这些工具被称为LOLBins,是”就地取材二进制文件”(Living Off the Land Binaries)的缩写。

PowerShell是典型的例子。它安装在每台Windows系统上,由微软数字签名,并且可以做几乎所有事情:从互联网下载文件、执行任意代码、修改注册表、与Active Directory交互以及数据外泄。当PowerShell运行时,不会触发任何防病毒警报,因为PowerShell不是恶意软件。它是一个系统管理工具正在用于系统管理——安全堆栈无法区分系统管理员运行维护脚本和攻击者运行侦察命令之间的区别。

Windows管理规范(WMI)提出了类似的挑战。它提供对系统配置、进程管理和远程执行的深度访问。PsExec是IT团队 worldwide 用于远程管理的Sysinternals工具,经常被滥用于横向移动。Certutil设计用于管理证书,同时充当文件下载器。BITSAdmin原本用于后台文件传输,变成了数据外泄工具。

这样的例子不胜枚举。每个操作系统都带有数十个可以被重新用于恶意活动的实用工具,攻击者已经将它们全部编目。

为什么传统检测失效

传统安全工具基于一个基本假设:恶意活动涉及恶意软件。基于签名的检测寻找已知的恶意软件。启发式分析寻找可疑的代码模式。沙箱在隔离环境中执行文件以观察恶意行为。当攻击者根本不使用恶意软件时,所有这些方法都会失效。

当攻击者使用PowerShell下载二级载荷时,安全堆栈看到的是一个受信任的微软二进制文件发出HTTP请求。当他们使用WMI进行横向移动时,日志显示标准的远程管理活动。当他们使用PsExec在远程服务器上执行命令时,看起来与合法的IT操作完全相同。

这就是核心挑战。”就地取材”攻击不会产生传统检测所依赖的工件。没有需要标记的恶意二进制文件,没有需要匹配的可疑文件哈希,没有需要分析的可疑代码模式。攻击隐藏在正常操作的噪音中。

实际影响

IBM X-Force报告记录了多个行业中基于LOLBin的攻击急剧增加。金融服务、医疗保健和关键基础设施都发生了重大事件,攻击者实现了他们的目标——数据窃取、勒索软件部署、持久访问——而没有部署任何定制恶意软件。

过去五年中,供应链攻击增加了四倍,”就地取材”技术是关键促成因素。当攻击者攻破受信任的供应商或软件更新机制时,他们获得了可以内置工具操作的环境而不会引起怀疑。初始访问通过供应链实现。之后的一切都使用合法的实用工具。

驻留时间统计数据令人担忧。由于LOLBin活动与正常操作融为一体,使用这些技术的攻击者比使用传统恶意软件的攻击者潜伏时间长得多。更长的驻留时间意味着在任何人注意到之前,有更多的数据被外泄,更多的系统被攻破,造成更大的损害。

有效的防御策略

防御”就地取材”攻击需要安全哲学的根本转变。与其寻找坏东西,防御者必须学会识别好东西的异常使用。

行为分析是这种方法的核心。与其询问二进制文件是否恶意,不如询问其行为是否正常。下午2点在开发人员工作站上运行的PowerShell是预期的。凌晨3点在数据库服务器上运行PowerShell并连接到外部IP地址则不是。二进制文件是相同的。上下文至关重要。

零信任架构解决了访问维度的问题。如果每个访问请求都得到验证,无论其是否源自网络内部,使用合法工具的横向移动将变得更加困难。如果一个攻击者攻破单个端点,如果每个跳跃都需要独立的身份验证和授权,他们就不能简单地使用PsExec在网络中移动。

端点检测和响应平台正在专门针对LOLBin滥用进行演进。现代EDR解决方案以细粒度监控进程行为、命令行参数、父子进程关系和网络连接。它们可以标记何时使用certutil从非常规域下载文件,或在意外上下文中使用WMI进行远程执行。

脚本块日志记录和增强的审计策略提供了对LOLBins实际在做什么的可见性,而不仅仅是它们是否在运行。例如,启用PowerShell脚本块日志记录会捕获每个执行脚本的完整内容——从而可以区分合法自动化和攻击者命令。

底线

通过检测恶意软件来检测攻击的时代正在结束。攻击者已经适应,安全行业也必须随之适应。”就地取材”不是一种新技术——它已经被记录多年——但现在它的普遍性已经势不可挡。那些仅依赖基于签名的检测和传统防病毒的组织正在带有虚假的安全感运行。威胁已经在房子内部,使用它自带的工具。

By Michael Sun

Founder and Editor-in-Chief of NovVista. Software engineer with hands-on experience in cloud infrastructure, full-stack development, and DevOps. Writes about AI tools, developer workflows, server architecture, and the practical side of technology. Based in China.

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

You missed