Linux LOTL(Living off the Land)攻擊利用作業系統內建工具進行惡意操作,使攻擊者無須安裝惡意程式即可入侵 Linux 系統。
過去談到端點安全,大多數企業首先想到 Windows。然而,隨著 Kubernetes、Docker、混合雲及公有雲快速普及,Linux 已成為大量企業應用與雲端服務的重要基礎。對攻擊者而言,只要成功控制 Linux 主機,不僅可能取得敏感資料,也可能進一步橫向移動至整個雲端環境。
因此,近年許多勒索軟體與 APT 攻擊已開始將 Linux 納入主要攻擊目標。
🚩駭客開始「借刀殺人」,利用系統內建工具完成攻擊
近幾年資安圈最常提到的攻擊手法之一,就是 Living off the Land(LOTL)。
與傳統惡意程式不同,LOTL 最大特色是不需要下載新的木馬或病毒,而是直接利用作業系統本來就存在的工具,例如 PowerShell、SSH、bash、curl、nmap 等完成整個攻擊流程。
因為這些程式本來就是 IT 人員每天都會使用的工具,所以許多防護產品很難區分哪些屬於正常操作,哪些已經是攻擊行為。
➡️為什麼傳統防毒越來越難攔住 LOTL?
傳統防護大多依賴:
- 已知病毒特徵
- 惡意程式雜湊
- IOC
- 已知攻擊樣式
但 LOTL 幾乎沒有惡意檔案。
攻擊者甚至可能一路都使用 Linux 原生工具完成:
- 偵查
- 建立後門
- 橫向移動
- 清除紀錄
- 建立 C2
整個過程幾乎都是合法程式。
因此,即使企業已部署 EDR,也可能因所有操作都屬「正常工具」而增加判斷難度。
⭐PHASR 的重點不是防毒,而是減少攻擊者可以利用的空間
Bitdefender 將 PHASR 定位為 Attack Surface Reduction(攻擊面縮減) 技術。
它不是等惡意程式出現才阻擋,而是分析每位使用者平常真正需要哪些工具。
例如:
- 開發人員平常不需要使用某些系統管理工具
- 財務人員不需要執行 PowerShell
- 一般使用者不需要建立新帳號
當這些高風險行為突然出現時,PHASR 可以直接限制,而不是等攻擊完成再處理。
✔️AI 建立行為模型,比固定規則更有彈性
PHASR 最大不同,在於它不是把所有工具全部封鎖。
而是透過 AI 建立每位使用者的行為基準,再依據實際需求調整限制策略。
例如:
- 保留 PowerShell 正常維運能力
- 保留 Linux 管理工具
- 保留遠端維護功能
但若開始出現異常下載、權限提升或可疑網路連線,就能立即限制。
如此一來,既不影響 IT 維運,也能降低合法工具遭濫用的風險。
參考來源 : Introducing Proactive Hardening and Attack Surface Reduction (PHASR) for Linux and macOS
延伸閱讀 / 參考資料
Bitdefender Official Blog
Accept All Cookies? ICO Prompts Top UK Websites to Make It Clear What Data They Collect from Users
Bitdefender Releases 2025 Consumer Cybersecurity Survey
了解更多我們提供的服務
Share via:








