Living Off the Land (LOTL) или Living Off the Land Binaries/Utilities/Scripts - LOLBins/LOLScripts/LOLBAS - описывает особо опасную тактику кибератак, при которой злоумышленники максимально используют легитимные инструменты и функционал операционной системы или установленного ПО вместо загрузки и запуска собственных вредоносных программ.
Суть LOTL-атаки
- Отказ от традиционных вредоносов: Вместо доставки и исполнения явно вредоносных .exe или .dll файлов, которые легко обнаружить антивирусами и EDR-системами, злоумышленник использует встроенные в ОС или доверенные административные утилиты.
- Использование "родного" инструментария: Атакующий выполняет свои вредоносные действия (разведка, перемещение по сети, кража данных, выполнение кода, сохранение присутствия) с помощью таких инструментов, как:
- Системные утилиты: PowerShell, Windows Command Prompt (cmd.exe), Windows Management Instrumentation (wmic), Certutil, Rundll32, Regsvr32, Mshta, BITSAdmin, Sc, Net, Task Scheduler (schtasks).
- Сторонние доверенные ПО: Административные инструменты вроде PsExec, Process Explorer, WinRAR, 7-Zip, легитимные компиляторы (.NET csc.exe, Python).
- Скрипты: JavaScript (*.js), VBScript (*.vbs), Batch-файлы (*.bat, *.cmd), HTA-файлы (*.hta).
- Системные функции: Использование сервисов, задач планировщика, реестра, WMI, RDP.
- Маскировка под нормальную активность: Поскольку используемые инструменты являются стандартными и часто применяются системными администраторами для легитимных задач, активность злоумышленника очень сложно отличить от обычной работы пользователя или админа. Это позволяет долго оставаться незамеченным.
- Обход защитных механизмов: Многие системы защиты (антивирусы, IDS/IPS, EDR) настроены на поиск известных вредоносных сигнатур или подозрительного поведения недоверенных исполняемых файлов. Использование доверенных бинарников (LOLBins) и скриптов (LOLScripts) значительно снижает вероятность детектирования.
Почему LOTL-атаки опасны
- Высокая скрытность: Активность сливается с фоновыми легитимными процессами.
- Сложность обнаружения: Требуется продвинутый мониторинг поведения (UEBA, продвинутые EDR) и глубокий анализ контекста команд.
- Эффективность: Легитимные инструменты обладают мощными возможностями, которые можно обратить во вред.
- Долгое время пребывания в системе (Dwell Time): Атакующие могут действовать недели и месяцы незамеченными.
Living off the land (LOTL, "живи вне земли") - это не конкретная уязвимость или вредонос, а тактика, использующая саму инфраструктуру жертвы против нее. Борьба с ней требует смещения фокуса с сигнатурного анализа на поведенческий анализ и глубокий мониторинг легитимной активности.
