什么是离地攻击？离地攻击策略是什么意思。

   攻击者为达到这些目的而调用的工具包括regsvr32。exe、rundll32。exe、certutil。exe和schtasks。exe。Windows管理规范（WMI），是Windows系统内建工具，为攻击者提供了“平地起飞”的绝好机会。WMI借助运行wmic。exe程序和执行脚本（如，PowerShell），使得攻击者可以操作设备的绝大部分配置。

   “离地攻击”是网络犯罪分子用来进行网络攻击的策略之一，一旦攻击者的恶意代码能与本地程序进行交互，那么攻击者就有可能利用系统的原生工具进行下一步攻击，包括下载附带的其他恶意代码，启动程序，执行脚本，窃取数据，横向扩展，维持访问等等。

   这些工具都是系统自带的、受信任的，所以反恶意软件技术也难以侦测和限制。

   “离地攻击”策略利用以下方面：

   使用两用工具

   无文件持久性

   仅使用内存威胁

   为什么使用离地攻击？

   攻击者利用常用工具对目标进行攻击，这就是离地攻击。使用预先安装在目标计算机上的工具的攻击者越来越多。使用无文件威胁、第三方工具或简单脚本可帮助攻击者逃避防病毒程序的检测。

   如何保护自己？

   建议在登录时使用双因素身份验证，并在会话完成后注销。

   始终建议谨慎使用提示用户启用宏的MicrosoftOffice附件。

   为避免此类攻击，最好监控网络内部两用工具的使用情况。

   最好及时更新所有系统、应用程序、软件和操作系统。

   最好安装一个强大的防病毒程序。

   建议永远不要打开来自匿名发件人的任何附件。

   最好创建列入白名单的应用程序列表并监视日志文件。

   建议使用强密码并定期轮换密码。