摘要：这篇文章属于系统分析类的文章，通过详细的实验分析了离地攻击（Living-Off-The-Land）的威胁性和流行度，包括APT攻击中的利用及示例代码论证。

本文分享自华为云社区《[论文阅读] (21)S&P21 Survivalism: Living-Off-The-Land 经典离地攻击》，作者： eastmount 。

摘要

随着恶意软件检测算法和方法变得越来越复杂（sophisticated），恶意软件作者也采用（adopt）同样复杂的逃避机制（evasion mechansims）来对抗（defeat）它们。

民间证据表明离地攻击技术（Living-Off-The-Land，LotL）是许多恶意软件攻击中最主要的逃避技术之一。这些技术利用（leverage）系统中已经存在的二进制文件来执行（conduct）恶意操作。

基于此，我们首次对Windows系统上使用这些技术的恶意软件进行大规模系统地调查。

在本文中，我们分析了这些本地系统的二进制文件在多个恶意软件数据集上的使用情况，这些数据集共包含31,805,549个样本。我们发现平均流行率（prevalence）为9.41%。实验结果表明，LotL技术被大量的使用，特别是在高级持久性威胁（Advanced Persistent Threat ，APT）恶意软件样本中，离地攻击占比为26.26%，是社区恶意软件的两倍多。

为了验证（illustrate）LotL技术的逃逸潜力，我们在本地沙箱环境（sandboxed environment）中对几个完全打补丁的Windows系统进行了离地攻击技术的测试，其结果表明在10个最流行的反病毒产品（anti-virus）中存在明显的gap。