Co to jest Living off the Land?

Living off the Land (LotL) to technika ataku, w której przestępcy wykorzystują wbudowane narzędzia systemowe (PowerShell, WMI, PsExec, certutil) zamiast własnego malware do wykonywania złośliwych operacji. Ponieważ używane narzędzia są legalne, tradycyjne antywirusy mają trudności z odróżnieniem złośliwego użycia od normalnego.

Ataki LotL są ulubioną techniką zaawansowanych grup hakerskich (APT). PowerShell jest najczęściej wykorzystywanym narzędziem - może pobierać i uruchamiać malware, kraść dane i poruszać się po sieci bez pozostawiania plików na dysku.

Jak się chronić? Rozwiązania EDR z analizą behawioralną monitorują użycie narzędzi systemowych i wykrywają podejrzane wzorce. Program antywirusowy z ochroną skryptów blokuje złośliwe użycie PowerShell.