Атака Living off the Land (LotL) в мире информационной безопасности — это атака, при которой злоумышленник использует легитимные программы и функции для выполнения вредоносных действий в целевой системе.
Living off the Land в переводе с английского означает «питаться подножным кормом», то есть тем, что можно добыть на местности. По аналогии операторы LotL-атак «добывают на местности» инструменты для достижения своей цели: компоненты операционной системы и установленные самими администраторами целевой системы. Часто атаки типа LotL относятся к бесфайловым, то есть не оставляют следов в ПЗУ устройств.
Инструменты LotL
Чаще всего в атаках типа Living off the Land используются следующие легитимные инструменты:
- PowerShell — оболочка для запуска скриптов, предоставляющая широкие возможности по администрированию устройств под управлением ОС семейства Windows. Злоумышленники используют PowerShell для запуска вредоносных сценариев, повышения привилегий, открытия бэкдоров и так далее.
- WMI (Windows Management Instrumentation) — интерфейс для доступа к различным компонентам операционной системы Windows. Злоумышленникам WMI нужен, в частности, для получения доступа к учетным данным, обхода средств защиты (таких как контроль учетных записей пользователя (UAC) и антивирусы), кражи файлов и горизонтального перемещения по сети.
Опасность атак типа LotL
Атаки типа Living off the Land нельзя обнаружить посредством сравнения сигнатур, поскольку злоумышленники не оставляют следов в виде вредоносных файлов, записанных в память компьютера.
Кроме того, инструменты ОС, такие как PowerShell или WMI, могут быть включены в списки разрешенных программ, что также затрудняет обнаружение аномальной активности с их стороны.
Наконец, использование злоумышленниками легитимных инструментов усложняет расследование и атрибуцию кибератак.
Защита от атак LotL
Для противодействия LotL используются средства защиты, основанные на поведенческом анализе. Эта технология позволяет фиксировать аномальную активность — действия программ или пользователей, которые могут служить признаком атаки.
Из инструментов для противостояния LotL-атакам применяются EDR-решения и активный поиск угроз.