Living off the Land.

Style operatoire ou l'attaquant abuse d'outils et de scripts legitimes deja installes sur le systeme cible au lieu de deposer son propre malware. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Style operatoire ou l'attaquant abuse d'outils et de scripts legitimes deja installes sur le systeme cible au lieu de deposer son propre malware.

Le Living off the Land (LotL) decrit des intrusions ou les adversaires obtiennent execution, decouverte, persistance et deplacement lateral via des utilitaires natifs du systeme et des logiciels d'administration de confiance (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Comme ces binaires sont signes et attendus, ils echappent souvent aux antivirus a signatures et se fondent dans la telemetrie d'administration, rendant la detection comportementale et non basee sur des hashes. LotL est etroitement lie aux tactiques d'evasion et d'execution de MITRE ATT&CK et est tres utilise par les groupes APT et les affilies de ransomware. Les defenses reposent sur le controle applicatif (WDAC/AppLocker), le logging des lignes de commande et ScriptBlock, l'analytique comportementale EDR et le moindre privilege.

Les défenses contre Living off the Land combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : LotL, LOL.