LotL攻击（Living off the Land–type attack）已经不算新鲜事了，它指的是利用合法程序或合法的操作系统功能发起的恶意行为。然而，随着网络专家对易受LotL攻击的现代软件严加管控，不法分子只能另觅新径。在2021年度RSA大会上，研究员 Jean-Ian Boutin 和 Zuzana Hromcova 提到了网络罪犯的新招数，即利用合法的 Windows XP 系统组件和程序实施攻击。

█  LotL攻击与易受攻击的 Windows XP 组件

通过对间谍软件 InvisiMole 幕后黑手的研究，Boutin 和 Hromcova 指出，InvisiMole 工具通过使用早已过时的操作系统下的文件来隐藏自己的行踪。研究人员将这类文件命名为 VULNBins，与 LOLBins 这一名称类似，是安全社区对于在LotL攻击中使用的一类文件的统称。

当然，想要将过时文件下载到受害者的计算机上，需要先获得计算机的访问权限。而 VULNBins 文件常常会被神不知鬼不觉地植入到目标系统中，用于打入内部，而不是实际的渗透攻击。

█  使用过时程序与系统组件的具体案例

如果攻击者未能取得管理员权限，他们就有可能略施小计以打入内部，比如使用一种旧版本的、带有缓存溢出漏洞的视频播放器。不法分子通过任务计划程序，创建一个定期的计划任务唤醒播放器，而该播放器的配置文件已被篡改，利用该漏洞加载恶意代码，以实施下一步攻击。

然而，使用 InvisiMole 的攻击者一旦夺取了管理员权限，就可以采取另一种手段，如使用合法的系统组件 setupSNK.exe，Windows XP 库中的 wdigest.dll，以及 Rundll32.exe （同样源自过时系统）用于执行该库。然后便可操纵从库中加载到内存中的数据。Windows XP 库是在“地址空间配置随机加载”（ASLR）技术得到应用之前创建的，因此不法分子知道被加载到内存中内容的确切地址。

通过使用完全合法的库和可执行文件，他们将大部分恶意内容以加密形式存入注册表中。因此，促成攻击的罪魁祸首，就是那些包含播放器设定信息的文件，以及过时的 Windows 库中的小小漏洞。通常情况下，这些行为可以躲过安全系统的眼线。

█  如何确保安全

为防止不法分子利用旧版本文件和过时的系统组件发动攻击（尤其是具有合法签名的过时组件），这里建议您将此类文件的数据库搞到手。这样一来，就能使目前的安全防护程序对其阻止，至少可以跟踪其行为（在某些情况下无法阻止）。这样做已经算是迈出了一步。

由于这样的数据库还没有整理出来，建议您使用我们的卡巴斯基端点检测和响应，这样就能：

检测并阻止系统文件夹以外 Windows 组件的执行；

识别没有签名的系统文件。某些系统文件没有唯一的数字签名而是使用目录文件签名，然而对于被移动到系统的外部系统文件，如果缺少 .cat 文件，会被识别为没有签名；

建立一套规则，以检测操作系统版本与每一个可执行文件版本之间的差异；

为其他应用程序创建一套类似规则，比如可以阻止在十多年前编写的文件。

正如上文所述，要想把某些内容下载到受害者的计算机上，攻击者需要先获得访问权限。为防止任何 VULNBins 文件被下载到您的工作站上，请在所有接入网络的设备上安装安全解决方案，培养员工在现代网络攻击领域的安全意识，并密切监视远程访问工具。