Living off the Land, или LotL — это подход, при котором злоумышленник использует уже су...
Living off the Land, или LotL — это подход, при котором злоумышленник использует уже существующие в системе легитимные инструменты: PowerShell, WMI, cmd, certutil, rundll32, regsvr32 и другие. Идея простая: не приносить в систему «явный вирус», а действовать тем, что уже разрешено и часто используется администраторами. Такие действия атакующего сложнее отличить от нормальной работы. Например, вместо запуска неизвестного файла атакующий может использовать PowerShell для выполнения команд, WMI — для удаленного запуска процессов, а встроенные утилиты Windows — для сбора данных, обхода ограничений или закрепления в системе. Проблема для защитников заключается не в наличии самих инструментов, а в их необычном использовании: странные аргументы командной строки, запуск от нетипичного пользователя, выполнение в необычное время или сетевые соединения из процессов, которые обычно не ходят наружу. Правильная защита от таких атак должна строиться не на запрете всех системных утилит, а на контроле их использования: журналировании PowerShell, мониторинге командных строк, правилах EDR/SIEM, ограничении прав, allowlist-подходе и анализе поведения.