® 
Living off the Land (LotL)
Definitie
Living off the Land (LotL) is een aanvalstechniek waarbij aanvallers gebruik maken van legitieme, al aanwezige tools en software in het doelsysteem in plaats van eigen malware te installeren. Dit maakt detectie veel moeilijker.
Living off the Land (LotL) is een aanvalstechniek waarbij aanvallers uitsluitend gebruik maken van legitieme, al aanwezige tools en software in het doelsysteem in plaats van eigen malware te installeren. Dit maakt detectie buitengewoon moeilijk omdat de gebruikte tools standaard systeemonderdelen zijn die niet door antivirus worden geblokkeerd. Volgens CrowdStrike gebruikt 75% van alle geavanceerde aanvallen LotL-technieken.
Hoe werkt Living off the Land?
De aanvaller gebruikt tools die standaard aanwezig zijn op Windows- en Linux-systemen: PowerShell, WMI (Windows Management Instrumentation), PsExec, certutil, mshta, regsvr32, Task Scheduler, WMIC en cmd.exe. Deze tools zijn ontworpen voor legitiem systeembeheer maar kunnen worden misbruikt voor het downloaden van aanvullende payloads, het uitvoeren van code op afstand, het stelen van credentials, het escaleren van privileges en het creeren van persistentie. Omdat deze tools door de organisatie zelf worden gebruikt en onderdeel zijn van het besturingssysteem, slaan traditionele antivirus en firewalls geen alarm.
Veelgebruikte LotL-tools
PowerShell kan scripts downloaden en uitvoeren vanuit het geheugen zonder bestanden op schijf te schrijven (fileless malware). WMI voert code uit op remote systemen en verzamelt systeeminformatie. Certutil downloadt bestanden terwijl het is ontworpen als certificaat-beheertool. Task Scheduler creert geplande taken voor persistentie. PsExec voert commando's uit op remote systemen.
Impact voor organisaties
LotL-aanvallen zijn bijzonder effectief tegen organisaties die alleen vertrouwen op signature-based detectie. APT-groepen gebruiken LotL als standaard om onder de radar te blijven. Ransomware-operators gebruiken LotL voor de verkennings- en verspreidingsfase. Het onderscheid tussen legitiem beheer en kwaadaardig gebruik van dezelfde tools is de kernuitdaging.
Bescherming
EDR-oplossingen met gedragsanalyse zijn essentieel: ze detecteren niet de tool maar het afwijkende gebruik. Monitor PowerShell-uitvoering en log alle scripts via Script Block Logging. Beperk het gebruik van admin-tools via application whitelisting en constrained language mode. Implementeer gedetailleerde logging van WMI en remote management-activiteit. Threat hunting gericht op LotL-patronen.
Hoe DEFION helpt
DEFION gebruikt LotL-technieken als onderdeel van Red Teaming om te testen of de detectiecapaciteiten van de organisatie LotL-aanvallen herkennen. Purple Teaming valideert specifiek de detectie van LotL-misbruik.