Living off the Land
O que é Living off the Land?
Living off the LandEstilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.
O Living off the Land (LotL) descreve intrusoes em que os adversarios obtem execucao, descoberta, persistencia e movimento lateral usando utilitarios do proprio sistema operativo e software administrativo de confianca (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Como esses binarios sao assinados e esperados, escapam frequentemente a antivirus baseados em assinaturas e confundem-se com a telemetria administrativa normal, tornando a detecao um problema de comportamento, nao de hash. O LotL liga-se a taticas de evasao e execucao do MITRE ATT&CK e e muito usado por grupos APT e afiliados de ransomware. As defesas focam-se em controlo de aplicacoes (WDAC/AppLocker), logging de linha de comandos e ScriptBlock, analitica comportamental de EDR e principio do menor privilegio.
● Exemplos
- 01
Usar o certutil.exe para descarregar um payload de segunda fase a partir de um URL controlado pelo atacante.
- 02
Executar PowerShell codificado via bitsadmin e tarefas agendadas em vez de instalar um EXE.
● Perguntas frequentes
O que é Living off the Land?
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Living off the Land?
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.
Como funciona Living off the Land?
O Living off the Land (LotL) descreve intrusoes em que os adversarios obtem execucao, descoberta, persistencia e movimento lateral usando utilitarios do proprio sistema operativo e software administrativo de confianca (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Como esses binarios sao assinados e esperados, escapam frequentemente a antivirus baseados em assinaturas e confundem-se com a telemetria administrativa normal, tornando a detecao um problema de comportamento, nao de hash. O LotL liga-se a taticas de evasao e execucao do MITRE ATT&CK e e muito usado por grupos APT e afiliados de ransomware. As defesas focam-se em controlo de aplicacoes (WDAC/AppLocker), logging de linha de comandos e ScriptBlock, analitica comportamental de EDR e principio do menor privilegio.
Como se defender contra Living off the Land?
As defesas contra Living off the Land costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Living off the Land?
Nomes alternativos comuns: LotL, LOL.
● Termos relacionados
- attacks№ 632
LOLBin / LOLBAS
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 1147
Caça a Ameaças
Busca proativa e orientada por hipóteses na telemetria para encontrar ameaças que escaparam das detecções existentes.
● Veja também
- № 045Bypass de AMSI
- № 1186Bypass de UAC