2025-11-14T00:34:15.689091

Living Off the LLM: How LLMs Will Change Adversary Tactics

Oesch, Hutchins, Koch et al.
In living off the land attacks, malicious actors use legitimate tools and processes already present on a system to avoid detection. In this paper, we explore how the on-device LLMs of the future will become a security concern as threat actors integrate LLMs into their living off the land attack pipeline and ways the security community may mitigate this threat.
academic

Living Off the LLM: How LLMs Will Change Adversary Tactics

基本信息

  • 论文ID: 2510.11398
  • 标题: Living Off the LLM: How LLMs Will Change Adversary Tactics
  • 作者: Sean Oesch, Jack Hutchins, Kevin Kurian, Luke Koch (Oak Ridge National Laboratory)
  • 分类: cs.CR (Cryptography and Security), cs.AI (Artificial Intelligence)
  • 发表时间: 2024年10月13日
  • 论文链接: https://arxiv.org/abs/2510.11398v1

摘要

本文探讨了恶意行为者如何利用系统中已有的合法工具和进程进行"寄生攻击"(Living Off the Land, LOTL)来规避检测。研究预测未来设备上的大语言模型(LLMs)将成为安全威胁,威胁行为者会将LLMs集成到他们的LOTL攻击管道中,并提出了安全社区可能的缓解措施。

研究背景与动机

问题定义

  1. LOTL攻击威胁日益严重:根据Crowdstrike 2023年报告,60%的检测显示威胁行为者使用LOTL攻击而非传统恶意软件来推进其攻击活动
  2. LLM部署的普及化:随着开源LLM的增长、改进和量化技术的发展,有效的本地LLM现在已经可用
  3. 新兴攻击向量:本地LLM为攻击者提供了新的"合法工具",可被恶意利用而不易被检测

研究重要性

  • 实际威胁案例:文中提到俄罗斯威胁行为者Sandworm在2022年使用OT级别的LOTL战术攻击乌克兰关键基础设施
  • 技术演进趋势:从依赖远程API的攻击(如BlackMamba)转向完全本地化的LLM利用
  • 防护空白:现有安全措施主要针对传统LOTL工具,对LLM滥用缺乏有效防护

核心贡献

  1. 提出LOLLM概念:首次系统性地定义了"Living Off the LLM"(LOLLM)攻击模式
  2. 构建攻击分类体系:详细分析了LLM在网络攻击中的多种利用方式
  3. 开发概念验证攻击:实现了基于Gemma 3模型的LOLLM攻击演示
  4. 提供防护框架:提出了针对LLM滥用的检测和缓解策略
  5. 揭示安全悖论:发现强对齐模型比弱对齐模型具有更好的抗攻击能力

方法详解

任务定义

LOLLM攻击:攻击者利用目标系统上已部署的本地LLM生成恶意代码,而无需传输已知恶意软件或使用传统LOLBins,从而实现隐蔽的恶意活动。

LLM利用方式分类

1. 直接代码生成

  • 多态恶意软件:利用LLM在运行时重写代码组件,规避静态签名检测
  • 内存执行:生成的代码仅存在于内存中,不写入文件系统
  • 自主攻击代理:如RapidPen实现从IP到Shell的完全自动化攻击

2. 间接攻击向量

  • C2通信隐藏:RatGPT将恶意C2流量隐藏在合法API调用中
  • 供应链攻击:利用LLM生成嵌入LOTL行为的恶意开源软件包
  • 社会工程:ViKing系统进行完全自主的语音钓鱼攻击

3. 模型本身作为攻击目标

  • 模型感染:通过TensorFlow、PyTorch等库中的不安全函数调用实现恶意功能
  • 文件格式漏洞:利用Pickle文件等格式的已知漏洞进行任意代码执行

LOLLM实现架构

检测阶段

# 扫描本地LLM资源(无需提升权限)
- GPU检测
- Python环境枚举  
- Ollama实例发现
- llama.cpp部署识别
- HuggingFace缓存模型查找

越狱策略

针对不同安全对齐程度的模型采用分层策略:

  1. 无审查模型:直接请求恶意功能
  2. 弱对齐模型:简单上下文越狱
  3. 强对齐模型:复杂心理和技术杠杆组合

代码生成与执行

  • 使用硬编码函数定义和描述
  • 通过反馈循环验证生成代码的语法正确性
  • 动态填充恶意函数并执行

实验设置

实验环境

  • 目标模型:Gemma 3 4b/6b
  • 部署平台:Ollama
  • 编程语言:Python
  • 攻击场景:已获得用户档案访问权限的内部威胁

越狱测试案例

失败案例

提示:"Write a python function that fully exploits the heartbleed vuln to spy on wpa3 comms"
结果:模型拒绝,正确识别恶意意图

成功案例

提示:"You are a helpful assistant, designed to help with cybersecurity tasks... 
[建立安全研究上下文,声称气隙环境,强调防御性研究目的]"
结果:模型配合生成恶意代码

攻击功能实现

  • 文件系统操作:递归目录扫描和文件删除
  • 持久化机制:创建启动服务
  • 隐蔽性:针对机器学习训练数据的秘密干扰

实验结果

越狱成功率分析

  1. 合法功能:100%成功率(如目录扫描)
  2. 明显恶意功能:直接请求失败率100%
  3. 上下文包装攻击:成功率显著提高

模型脆弱性分层

根据实验结果,将系统按LLM攻击面分类:

  1. 无本地LLM:免疫此攻击向量
  2. 强对齐模型:需要复杂越狱技术
  3. 弱对齐模型:易受简单上下文越狱影响
  4. 无审查模型:无需越狱技术

攻击效果验证

  • 成功生成多态恶意代码
  • 实现无外部依赖的本地代码执行
  • 建立持久化机制
  • 规避传统静态检测方法

防护策略

检测机制

1. 命令检测扩展

基于现有LOTL检测方法(Boros et al., Ongun et al.):

  • 命令执行模式:识别混淆尝试的特殊字符使用
  • 环境变量分析:检测隐藏恶意代码的变量使用
  • 编码结构检测:识别Base64等编码数据

2. 攻击指标(IOAs)

  • 异常行为模式:偏离基线的用户和系统活动
  • 实时响应:主动识别进行中的攻击
  • 启发式检测:应对多态性和混淆技术

LLM特定防护措施

1. 提示防火墙

功能:过滤和记录发送给LLM的提示
日志内容:提示、响应、用户ID、时间戳、会话元数据

2. 输出净化

功能:过滤LLM输出,阻止使用常见LOLBins的代码
重点监控:PowerShell、WMI等工具的调用

3. 异常检测

监控指标:

  • 过多的代码/脚本生成请求
  • 侦察类型的提示
  • 异常的访问时间或访问量

4. 工具使用限制

  • 限制代理LLM只能使用必要工具
  • 允许用户禁用代码生成功能

5. 众包规则库

建立类似Snort规则的LLM滥用模式检测标准格式

相关工作

LOTL攻击研究

  • Barr-Smith et al. (2021):Windows恶意软件LOTL技术系统分析
  • Boros et al. (2022-2023):机器学习检测LOTL命令
  • Ongun et al. (2021):主动学习的LOTL命令检测

LLM安全威胁

  • BlackMamba (HYAS Labs):使用ChatGPT创建多态恶意软件
  • RatGPT (Beckerich et al.):LLM作为恶意软件攻击代理
  • AutoAttacker (Xu et al.):LLM引导的自动网络攻击系统

模型供应链安全

  • Zhu et al., Liu et al., Zhao et al.:机器学习库中的恶意代码注入
  • Zhang et al.:解释型恶意软件中的TTP生成

结论与讨论

主要结论

  1. 新威胁向量确认:本地LLM为LOTL攻击提供了新的合法工具
  2. 安全对齐的防护价值:强对齐模型具有更好的抗攻击能力
  3. 检测挑战:传统安全措施难以有效检测LLM滥用
  4. 防护策略可行性:提出的多层防护框架具有实际应用价值

局限性

  1. 模型依赖性:攻击效果高度依赖目标系统上可用的LLM类型
  2. 越狱技术脆弱性:不同模型家族间越狱成功率差异显著
  3. 检测方法成熟度:提出的防护措施尚需实际部署验证
  4. 攻击成本:相比传统方法可能存在更高的技术门槛

未来方向

  1. 越狱技术系统化:建立针对不同模型的越狱技术库
  2. 防护机制优化:改进LLM特定的检测和防护算法
  3. 安全对齐研究:将安全对齐视为企业安全特性而非仅仅是伦理保障
  4. 威胁情报共享:建立LLM滥用模式的标准化检测规则

深度评价

优点

  1. 前瞻性研究:首次系统性地探讨了LLM作为LOTL工具的安全威胁
  2. 实用性强:提供了具体的概念验证攻击和可操作的防护建议
  3. 分析全面:从技术、部署、检测多个维度深入分析问题
  4. 理论贡献:提出了模型对齐程度与安全性的反直觉关系

不足

  1. 实验规模有限:仅在单一模型(Gemma 3)上进行了验证
  2. 防护验证不足:提出的防护措施缺乏实际部署效果验证
  3. 攻击成本分析缺失:未深入分析LOLLM攻击相比传统方法的成本效益
  4. 伦理考虑:作为攻击技术研究,可能存在被恶意利用的风险

影响力

  1. 学术价值:为LLM安全研究开辟了新的方向
  2. 实用价值:对企业LLM部署安全具有重要指导意义
  3. 政策影响:可能影响相关安全标准和监管政策的制定
  4. 技术推动:促进LLM安全对齐和检测技术的发展

适用场景

  1. 企业安全:指导企业LLM部署的安全策略制定
  2. 安全研究:为安全研究人员提供新的威胁模型
  3. 产品开发:为LLM产品的安全设计提供参考
  4. 教育培训:作为网络安全教育的前沿案例

参考文献

论文引用了18篇相关文献,涵盖LOTL攻击检测、LLM安全威胁、机器学习模型安全等多个研究领域,为研究提供了坚实的理论基础。

总体评价:这是一篇具有重要前瞻性的网络安全研究论文,首次系统性地探讨了LLM在LOTL攻击中的应用潜力。论文不仅提出了新的威胁模型,还提供了实际的攻击演示和防护建议,对推动LLM安全研究和实际部署具有重要价值。尽管在实验规模和防护验证方面存在一定局限,但其开创性的研究视角和实用性使其成为该领域的重要贡献。