文章总结： 文档深入分析了就地取材(LivingofftheLand)攻击的威胁态势，指出攻击者利用PowerShell、WMI等系统原生工具进行隐蔽攻击，使传统防火墙失效。关键基础设施和金融行业风险突出，防御需从工具监控转向行为意图识别，建议通过加固系统工具、持续监控、主动狩猎和零信任策略缩短攻击驻留时间。 综合评分： 85 文章分类： 威胁情报,实战经验,安全建设,解决方案,安全意识

没病毒也能黑掉你！这种“就地取材”的潜伏攻击，正让防火墙形同虚设

原创

David Bray David Bray

信息安全D1net

2026年4月21日 16:49 北京

在小说阅读器读本章

去阅读

点击上方“蓝色字体”，选择 “设为星标”

关键讯息，D1时间送达！

企业网D1net

当攻击者不再使用病毒，而是直接利用PowerShell等系统自带工具，“就地取材”攻击正悄然成为主流威胁，这类攻击隐藏在正常运维行为中，难以识别、长期潜伏，尤其在云化与混合架构环境下风险倍增。关键基础设施和金融行业首当其冲。传统防御思路正在失效，企业必须从“防工具”转向“识别行为与意图”，通过持续监控、主动狩猎与零信任策略，缩短攻击驻留时间，才能在这场“隐形战争”中守住底线。

“就地取材”(Living off the Land)攻击已成为企业安全团队面临的最顽固、最棘手的威胁之一。与传统依赖定制恶意软件或明显漏洞的入侵方式不同，这类攻击将企业日常信赖和依赖的工具武器化。PowerShell、Windows管理规范(WMI)、PsExec、计划任务、bash脚本及其他原生实用工具，均成为攻击面的一部分。这些攻击之所以得逞，并非因为防御者缺乏工具，而是因为他们仍认为合法活动本身是安全的。

这种方法使攻击者能够无缝融入正常运营之中，与触发与恶意二进制文件或已知签名相关的警报不同，“就地取材”技术利用合法管理功能进行横向移动、提权，并悄无声息地窃取数据。从攻击者的角度来看，目标很简单：在环境规则内运作，而非破坏它们。

随着企业扩大对云服务、自动化框架和混合架构的使用，对原生系统工具的依赖持续增长。那些促进规模扩张、提升韧性和效率的能力，也为隐蔽入侵创造了理想条件。最近的威胁情报报告显示，大多数现代攻击现在均融入了“就地取材”技术，凸显了这一手法如何迅速从例外变为常态。

对于CIO而言，担忧的不仅是这些攻击难以检测，更在于它们利用了维持系统运行的机制。无论是在联邦机构管理关键通信基础设施(我们中的一人在美国联邦通信委员会(FCC)担任CIO四年期间就曾如此)，还是监督企业IT运营，紧张关系始终存在：管理工具既是运营所必需，也是攻击者觊觎的目标。彻底封锁这些工具几乎总是不可行的，因为这可能会中断关键业务功能。结果就是驻留时间延长、修复成本上升、对攻击者意图的可见性降低，以及对传统安全控制的信任逐渐削弱。

像Salt Typhoon这样的高级持续性威胁(APT)参与者展示了高级攻击者如何仅利用系统原生能力进行长期运作，对企业环境有足够了解的攻击者，可以潜伏数月之久，且表现得与合法管理员无异。

Evan最近在一家大型电信提供商处观察到一起“就地取材”事件，凸显了这一挑战。安全规则最初封锁了一组被认为恶意的IP地址，结果发现，这些地址是有效的客户驻地设备，禁用它们降低了客户性能，并产生了运营风险，而攻击者活动则继续在其他地方使用合法工具进行。由于“就地取材”场景，安全信号与业务现实之间的这种错位日益常见。

最易遭受“就地取材”攻击的组织

所有企业都易受“就地取材”攻击，因为这些技术依赖于标准操作系统功能，而非专门软件。尽管如此，运营复杂、分布式或关键任务环境的企业面临的风险更高。

公用事业、电信网络和交通系统等关键基础设施提供商尤为脆弱，这些环境往往包含多年未打补丁或更新的设备，甚至可能缺乏我们如今习以为常的基本控制措施，它们高度依赖高权限管理工具来管理正常运行时间、安全性和法规遵从性。地缘政治影响重大：针对关键基础设施的攻击者越来越多地使用“就地取材”技术，因为他们明白防御者不能简单地禁用维持基本服务运行的工具。金融机构在交易平台、支付基础设施和身份系统中也面临类似风险，这些领域自动化和远程管理根深蒂固。

混合环境通过增加攻击者可利用的端点、身份和信任关系数量，进一步扩大了攻击面。系统间存在的管理路径越多，攻击者就越容易模仿预期行为，同时推进其目标。攻击者越来越多地使用通用生成式AI和越狱(如WormGPT)大型语言模型，加剧了这一问题。曾经需要深厚技术专长的自动化脚本，现在可以快速生成、修改和适配。这降低了进入门槛，加速了“就地取材”技术在更广泛威胁行为者中的传播。

最终，任何严重依赖PowerShell、WMI或类似编排框架的组织都必须假设这些工具将成为攻击目标。问题已不再是“就地取材”技术是否会被使用，而是企业能否在造成重大损害前识别出恶意意图。

应对“就地取材”攻击的最佳实践

在不破坏运营的情况下加固原生系统工具

应对“就地取材”风险的第一步是加固攻击者最常滥用的系统工具，这需要谨慎平衡。这些工具对IT运营至关重要，因此控制措施必须减少滥用，同时不损害合法使用。

有效的加固始于收紧管理工具的执行方式和时机，限制脚本环境、强制执行签名脚本、减少不必要功能和应用最小权限访问原则，均限制了攻击者的机会。许多企业发现，权限已随时间积累，不再符合当前运营需求，加固还包括严格的配置管理。攻击者经常利用配置错误，而非软件漏洞。定期审计系统设置、管理权限和自动化工作流程可以消除悄然扩大攻击面的漏洞。

然而，CIO应清醒认识到加固的局限性，这些措施减少了暴露，但并未证明意图，配置良好的PowerShell环境仍可能被泄露的凭证或恶意内部人员滥用，加固提高了访问系统的门槛，但如果不良行为者破解了登录，即使有高级控制措施，也难以有效减少他们可能造成的破坏。

持续监控，理解行为

持续监控对于打击“就地取材”活动至关重要，在此，揭示上下文至关重要。在“就地取材”场景中，重要的是理解工具的使用方式和原因。由正确账户在错误时间或错误顺序执行的PowerShell命令，可能比缺乏上下文的明显异常事件更为重要。

安全运营中心(SOC)团队需要对管理工具、身份、系统和时间有统一的可见性，脚本是否在正常维护窗口外执行?特权账户是否访问了其很少触及的系统?管理行动是否以表明横向移动而非常规管理的方式串联起来?上下文将噪音转化为信号，没有它，安全团队将被反映运营复杂性而非攻击者意图的警报淹没，这导致警报疲劳，错过识别早期入侵的机会。

持续监控还必须考虑混合环境的现实，云服务和本地系统之间的可见性差距创造了攻击者迅速利用的盲点，跨越这些领域的统一遥测对于理解一个领域的活动如何影响另一个领域的风险至关重要。

给予SOC团队时间和授权，进行主动狩猎

即使有强大的加固和持续监控，“就地取材”攻击仍常常能逃避纯粹的反应式防御，其隐蔽性要求熟练的分析师进行主动狩猎，他们理解攻击者手法和业务上下文。SOC团队经常被常规运营警报、合规报告和管理开销所淹没。当每小时都用于分诊时，几乎没有剩余能力去搜索表明新兴“就地取材”入侵的微弱信号。

有效的狩猎关注意图而非异常，分析师寻找表明目标导向行为的模式，如跨系统重复使用凭证、微妙的提权或创建未来访问而非立即影响的管理行动，这项工作需要深入了解业务实际运营方式，分析师必须理解哪些工作流程是正常的，哪些是罕见的，哪些根本不应发生，这种知识不能完全编码在规则或自动化系统中。

总体而言，最具韧性的企业是那些授权SOC团队像攻击者一样思考，同时扎根于运营现实的企业，这将检测从反应式努力转变为一种持续验证系统按预期运行的形式。

适应“就地取材”世界的安全策略

“就地取材”攻击代表了攻击者运作方式的长期演变，随着防御的加强，攻击者越来越多地选择滥用可信工具而非引入外来代码的最小阻力路径，这一转变要求安全策略相应演变，仅依赖边界中心模型已不再足够。企业必须假设一定程度的妥协是不可避免的，并专注于减少驻留时间和限制影响。

适应这一现实需要将关注点从工具转向行为，从单个事件转向随时间推移的意图。加固减少了暴露，但并未解释行动为何发生或它们如何连接。重要的是事件序列、时机以及跨身份和环境的上下文。

在“就地取材”世界中，零信任必须超越认证事件和执行点。前进的道路不是追逐每一个新工具或威胁，而是理解攻击者如何运作、系统如何实际使用以及安全如何与实际业务运营保持一致。随着环境变得更加复杂，没有人类分析师能够孤立地推理每一种可能的行为。安全策略必须演变以大规模识别意图，否则将落后于旨在藏匿于众目睽睽之下的攻击。

版权声明：本文为企业网D1net编译，转载需在文章开头注明出处为：企业网D1net，如果不注明出处，企业网D1net将保留追究其法律责任的权利。封面图片来源于摄图网

（来源：企业网D1net）

关于企业网D1net(www.d1net.com)

国内头部to B IT门户，同时在运营国内头部的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)

如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1net投稿。

投稿邮箱：

[email protected]

合作电话：

010-58221588（北京公司）

021-51701588（上海公司）

合作邮箱：

[email protected]

企业网D1net旗下信众智是CIO（首席信息官）的专家库和智力输出及资源分享平台，有六万多CIO专家，也是目前较大的CIO社交平台。

信众智对接CIO为CIO服务，提供数字化升级转型方面的咨询、培训、需求对接等落地实战的服务。也是国内较早的toB共享经济平台。同时提供猎头，选型点评，IT部门业绩宣传等服务。

扫描 “二维码” 可以查看更多详情

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全D1net David Bray David Bray《没病毒也能黑掉你！这种“就地取材”的潜伏攻击，正让防火墙形同虚设》