Living off the Land
Что такое Living off the Land?
Living off the LandСтиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
Living off the Land (LotL) описывает вторжения, в которых атакующий обеспечивает исполнение, разведку, закрепление и горизонтальное перемещение, используя встроенные утилиты ОС и доверенный административный софт (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Поскольку эти бинарные файлы подписаны и ожидаемы в среде, они часто обходят сигнатурные антивирусы и сливаются с обычной административной телеметрией, превращая обнаружение в задачу поведенческого анализа, а не поиска хешей. LotL тесно связан с тактиками defense evasion и execution из MITRE ATT&CK и активно используется APT-группами и партнёрами ransomware. Защита: контроль приложений (WDAC/AppLocker), журналирование командной строки и ScriptBlock, поведенческая аналитика EDR и минимальные привилегии.
● Примеры
- 01
Использование certutil.exe для скачивания второй стадии полезной нагрузки с подконтрольного атакующему URL.
- 02
Запуск закодированного PowerShell через bitsadmin и планировщик задач вместо установки EXE.
● Частые вопросы
Что такое Living off the Land?
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Living off the Land?
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
Как защититься от Living off the Land?
Защита от Living off the Land обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Living off the Land?
Распространённые альтернативные названия: LotL, LOL.