® 
Living off the Land (LotL)
Definicio
Living off the Land es una tecnica d'atac on els atacants utilitzen eines llegitimes ja presents al sistema objectiu en lloc d'instal-lar el seu propi malware.
Living off the Land (LotL) es una tecnica d'atac en la qual els atacants utilitzen exclusivament eines i programari llegitims ja presents al sistema objectiu en lloc d'instal-lar el seu propi malware. Segons CrowdStrike, el 75% de tots els atacs avancats empren tecniques LotL.
Com funciona Living off the Land?
L'atacant utilitza eines nativament presents en sistemes Windows i Linux: PowerShell, WMI, PsExec, certutil, mshta, Task Scheduler, WMIC i cmd.exe. Aquestes eines estan dissenyades per a l'administracio llegitima del sistema pero poden abusar-se per descarregar payloads, executar codi remot, robar credencials, escalar privilegis i establir persistencia.
Eines LotL comunes
PowerShell pot descarregar i executar scripts des de memoria sense escriure fitxers al disc (malware sense fitxers). WMI executa codi en sistemes remots. Certutil descarrega fitxers simulant ser una eina de gestio de certificats. Task Scheduler crea tasques programades per a persistencia.
Impacte per a les organitzacions
Els atacs LotL son especialment efectius contra organitzacions que nomes depenen de deteccio basada en signatures. Els grups APT usen LotL com a practica estandard per romandre sota el radar. Distingir l'activitat d'administracio llegitima de l'us maliciis de les mateixes eines es el repte central.
Proteccio
Les solucions EDR amb analisi de comportament son essencials. Monitoritzeu l'execucio de PowerShell i registreu tots els scripts. Restringiu eines d'administracio mitjancant llistes blanques d'aplicacions.
Com ajuda DEFION
DEFION empra tecniques LotL com a part de Red Teaming per provar si les capacitats de deteccio de l'organitzacio reconeixen atacs LotL.