LotL-атака (атака Living off the Land)

Атака Living off the Land (LotL) в мире информационной безопасности — это атака, при которой злоумышленник использует легитимные программы и функции для выполнения вредоносных действий в целевой системе.

Living off the Land в переводе с английского означает «питаться подножным кормом», то есть тем, что можно добыть на местности. По аналогии операторы LotL-атак «добывают на местности» инструменты для достижения своей цели: компоненты операционной системы и установленные самими администраторами целевой системы. Часто атаки типа LotL относятся к бесфайловым, то есть не оставляют следов в ПЗУ устройств.

Инструменты LotL

Чаще всего в атаках типа Living off the Land используются следующие легитимные инструменты:

  • PowerShell — оболочка для запуска скриптов, предоставляющая широкие возможности по администрированию устройств под управлением ОС семейства Windows. Злоумышленники используют PowerShell для запуска вредоносных сценариев, повышения привилегий, открытия бэкдоров и так далее.
  • WMI (Windows Management Instrumentation) — интерфейс для доступа к различным компонентам операционной системы Windows. Злоумышленникам WMI нужен, в частности, для получения доступа к учетным данным, обхода средств защиты (таких как контроль учетных записей пользователя (UAC) и антивирусы), кражи файлов и горизонтального перемещения по сети.
  • PsExec — утилита для удаленного выполнения команд, которую злоумышленники используют для внедрения вредоносного кода.
  • Mimikatz — инструмент для исследования безопасности Windows, позволяющий просматривать и сохранять учетные данные пользователей.

Опасность атак типа LotL

Атаки типа Living off the Land нельзя обнаружить посредством сравнения сигнатур, поскольку злоумышленники не оставляют следов в виде вредоносных файлов, записанных в память компьютера.

Кроме того, инструменты ОС, такие как PowerShell или WMI, могут быть включены в списки разрешенных программ, что также затрудняет обнаружение аномальной активности с их стороны.

Наконец, использование злоумышленниками легитимных инструментов усложняет расследование и атрибуцию кибератак.

Защита от атак LotL

Для противодействия LotL используются средства защиты, основанные на поведенческом анализе. Эта технология позволяет фиксировать аномальную активность — действия программ или пользователей, которые могут служить признаком атаки.

Из инструментов для противостояния LotL-атакам применяются EDR-решения и активный поиск угроз.

Публикации на схожие темы