Anatomie d'une attaque visant à vivre de la terre (LotL)

Qu'est-ce qu'une attaque LOTL ?

Les attaques LOTL (Living off the Land) sont une stratégie de cyberattaque furtive dans laquelle les attaquants exploitent des outils et des processus légitimes déjà présents dans votre environnement pour mener des activités malveillantes. Au lieu de s'appuyer sur le site malware ou sur des fichiers suspects, les attaquants utilisent des binaires, des scripts ou des outils administratifs natifs et fiables, qui font partie de votre système d'exploitation ou de votre environnement logiciel, ce qui rend l'attaque plus difficile à détecter.

Qui utilise les attaques LOTL ?

Les attaques LOTL sont souvent utilisées par des groupes de ransomware, tels que Black Basta, pour une raison bien précise : Elles sont difficiles à détecter. Comme les attaquants utilisent des outils existants, les actions ne sont pas signalées par endpoint detection and response (EDR) et d'autres outils de prévention. Il n'y a pas de code malveillant ni de malware, ce qui permet à l'attaquant de se fondre dans la masse - et vous empêche de repérer des schémas inhabituels. L'utilisation d'outils courants fait que les attaques LotL ressemblent souvent à des activités normales d'utilisateurs.

Comment fonctionnent les attaques LOTL ?

Les attaques LOTL excellent dans la dissimulation et peuvent se déplacer à travers les centres de données, cloud, et les surfaces d'identité pendant de longues périodes. Une attaque LOTL typique ressemble à ceci :

1. Obtenir l'accès : Les attaquants obtiennent un accès initial en phishingen exploitant des vulnérabilités ou par d'autres moyens.

2. Utiliser des outils intégrés : Une fois à l'intérieur, l'attaquant utilise des outils système légitimes tels que PowerShell, Windows Management Instrumentation (WMI) ou des commandes shell Unix/Linux. Ces outils sont fiables et ne sont généralement pas signalés par les mesures de sécurité.

3. Exécuter des commandes malveillantes : L'attaquant utilise ensuite les systèmes ciblés pour exécuter des commandes malveillantes. Par exemple, PowerShell peut être utilisé pour télécharger et exécuter des scripts malveillants directement à partir de la mémoire, en contournant les mécanismes de détection basés sur le disque.

4. Se déplacer latéralement : Sans être détecté, l'attaquant utilise des techniques LOTL pour se déplacer latéralement dans votre réseau, accéder à des données sensibles et les exfiltrer ou préparer l'environnement pour des attaques destructrices telles que les ransomwares.

Voici quelques exemples d'outils LotL courants :

• PowerShell : Ce puissant langage de script et cadre shell de Windows peut être exploité pour exécuter des scripts à différentes étapes de l'attaque.
• Windows Management Instrumentation (WMI) : Souvent utilisée pour la gestion à distance, cette infrastructure peut être exploitée pour des mouvements latéraux ou l'exécution de commandes à distance.
• PsExec : Cet outil de ligne de commande légitime, utilisé pour exécuter des processus sur d'autres systèmes, est souvent utilisé par les attaquants LOTL pour effectuer des déplacements latéraux.
• MSHTA : outil Windows qui exécute des fichiers d'application HTML (HTA), il peut être utilisé de manière abusive pour exécuter des scripts malveillants.
• CertUtil : Outil de ligne de commande Windows pour la gestion des certificats, qui peuvent être utilisés à mauvais escient pour télécharger des fichiers.

Comment contrer les attaques du LOTL

Les attaques LOTL ne seront pas détectées par les outils de prévention traditionnels - votre équipe de sécurité a besoin d'une stratégie de chasse aux menaces avancée pour découvrir les attaques furtives qui se fondent dans le bruit des activités quotidiennes.

Vectra AI utilise l'analyse comportementale pour distinguer les alertes quotidiennes des véritables événements de sécurité - et pour identifier les comportements faciles à ignorer qui sont caractéristiques des attaques LOTL. Les détections avancées basées sur l'IA se concentrent sur les tactiques LOTL les plus courantes, notamment :

• Tunnel TTPS caché
• RPC Targeted Recon
• Exécution à distance suspecte
• Utilisation inhabituelle du moteur de script par Entra ID
• Entra ID Succès de Brute-Force‍

Par exemple, dans le cadre d'une attaque simulée lancée à partir d'un bureau à domicile compromis :

• L'attaquant a tenté de recueillir des informations sur les lecteurs locaux et les informations d'identification afin de passer inaperçu. 
  

• En se déplaçant sur plusieurs surfaces, l'attaquant recueille des informations supplémentaires pour progresser et dissimuler ses traces.
  

• Même avec ces techniques furtives, Vectra AI a détecté, analysé, trié, corrélé et validé l'activité de l'attaque - avant que l'attaquant ne soit en mesure de l'exécuter.

Voyez comment Vectra AI a arrêté une attaque de LOTL

Comment rattraper un acteur de menace hautement qualifié qui utilise des techniques furtives de LOTL ? Nous avons simulé une attaque Volt Typhoon pour le savoir. Téléchargez l'anatomie de l'attaque pour voir comment les défenseurs peuvent arrêter une attaque LOTL parrainée par un État que d'autres technologies ont manquée.