Linkedin logo Twitter logo Youtube logo Instagram logo Contact icon

News

Living of the Land attacks (LotL)

Living of the Land attacks, ook wel omschreven als LotL,  zijn aanvallen en technieken waarbij de hackers gebruikmaken van de standaard system tools en applicaties die aanwezig zijn op het systeem en vooral vanuit het OS op het systeem. Op Windows zijn dat er zo’n honderd, waarvan PowerShell een van de bekendste en meest krachtige tools is. Voorbeelden van andere tools zijn VBScript, PSexec, RDP, FTP, Telnet en de “tools” als Netstat, whoami, ipconfig, GPResult, etc.

Complex?

Wanneer een hacker gebruikmaakt van custom malware, is dit eenvoudiger te ontdekken, daarnaast is ook makkelijker te achterhalen wie er achter de aanval zit. “Wat als ik nu non-custom malware gebruik en windows system tools?” Dan wordt dat al een stuk lastiger te ontdekken, en, wanneer ontdekt, is het zeer lastig uit te zoeken wie er achter de aanval zit. Een hacker probeert zijn aanval te maskeren door zich te verbergen tussen een zee aan legitieme processen die op de machine draaien. Daarnaast is de kans groot dat deze legitieme tools zijn toegestaan en dus simpelweg op de whitelists staan van de diverse security producten. Een hacker maakt zich daardoor ook niet afhankelijk van bijvoorbeeld zero-day exploits.

Waarnaar kijken? Wat te doen?

  • Wees waakzaam bij attachments en links in email.
  • Wees waakzaam bij Office tools en gebruik van macro’s.
  • Monitor het gebruik van de system tools op de infrastructuur. Als PowerShell nog niet gemonitord wordt, start hier dan direct mee.
  • Monitor DNS en Active Directory.

De oplossingen

Exclusive Networks levert een groot aantal producten, juist voor het inzichtelijk maken, monitoren en beschermen van de bovengenoemde zaken. Zorg voor een goede End-Point security oplossing met goede Endpoint Detection and Response (EDR) en Threat Hunting mogelijkheden, zoals SentinelOne. Ook een next-gen SIEM kan hierbij helpen, denk daarbij aan bijvoorbeeld Exabeam. Zorg voor een goede email security oplossing die bijlagen filtert en scant en url’s herschrijft en monitort. Proofpoint beschikt over dit soort oplossingen en heeft daarnaast ook een trainingsportfolio gericht op Security Awereness.

Een voorbeeld

Lees hier een in een blogbericht van SentinelOne hoe CertUtil ingezet wordt om een LotL aanval in te zetten, en wat u ertegen kunt doen.


Wilt u meer informatie over LotL en een demonstratie van de oplossingen die u hiertegen beschermen?

Neem dan contact op met Exclusive Networks via tel. +31 (0)499 462121 of stuur een e-mail naar info@exclusive-networks.nl.

Contact Form


Alle velden met * zijn verplicht.