Living off the Land
Что такое Living off the Land?
Living off the LandСтиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
Living off the Land (LotL) описывает вторжения, в которых атакующий обеспечивает исполнение, разведку, закрепление и горизонтальное перемещение, используя встроенные утилиты ОС и доверенный административный софт (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Поскольку эти бинарные файлы подписаны и ожидаемы в среде, они часто обходят сигнатурные антивирусы и сливаются с обычной административной телеметрией, превращая обнаружение в задачу поведенческого анализа, а не поиска хешей. LotL тесно связан с тактиками defense evasion и execution из MITRE ATT&CK и активно используется APT-группами и партнёрами ransomware. Защита: контроль приложений (WDAC/AppLocker), журналирование командной строки и ScriptBlock, поведенческая аналитика EDR и минимальные привилегии.
● Примеры
- 01
Использование certutil.exe для скачивания второй стадии полезной нагрузки с подконтрольного атакующему URL.
- 02
Запуск закодированного PowerShell через bitsadmin и планировщик задач вместо установки EXE.
● Частые вопросы
Что такое Living off the Land?
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Living off the Land?
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
Как работает Living off the Land?
Living off the Land (LotL) описывает вторжения, в которых атакующий обеспечивает исполнение, разведку, закрепление и горизонтальное перемещение, используя встроенные утилиты ОС и доверенный административный софт (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Поскольку эти бинарные файлы подписаны и ожидаемы в среде, они часто обходят сигнатурные антивирусы и сливаются с обычной административной телеметрией, превращая обнаружение в задачу поведенческого анализа, а не поиска хешей. LotL тесно связан с тактиками defense evasion и execution из MITRE ATT&CK и активно используется APT-группами и партнёрами ransomware. Защита: контроль приложений (WDAC/AppLocker), журналирование командной строки и ScriptBlock, поведенческая аналитика EDR и минимальные привилегии.
Как защититься от Living off the Land?
Защита от Living off the Land обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Living off the Land?
Распространённые альтернативные названия: LotL, LOL.
● Связанные термины
- attacks№ 632
LOLBin / LOLBAS
Подписанный системный бинарь или скрипт (LOLBin/LOLBAS), который атакующие используют для исполнения, загрузки, закрепления или обхода защит, выглядя при этом как штатный администраторский инструмент.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 1147
Охота за угрозами
Проактивный поиск по телеметрии на основе гипотез, направленный на обнаружение угроз, проскочивших мимо имеющихся детектов.
● См. также
- № 045Обход AMSI
- № 1186Обход UAC