IT OT Convergentie

Living Off The Land

2 minuten leestijd

Wat is Living Off The Land (LotL)?

Living Off The Land (LotL) is een aanvalstechniek waarbij legitieme, ingebouwde tools of software op een systeem worden misbruikt voor kwaadaardige doeleinden. Hierdoor kunnen aanvallers zich verbergen in het normale gedrag van systemen, en detectie omzeilen.

In OT-omgevingen is LotL extra gevaarlijk, omdat systemen vaak zwakke Logging en Monitoring hebben, en tools zoals PowerShell of PsExec standaard beschikbaar zijn.

🧠 Kenmerken van LotL-aanvallen

KenmerkToelichting
Gebruikt legitieme softwareGeen malware nodig, alleen standaardtools
Moeilijk detecteerbaarActies lijken op normaal gebruik
Wordt vaak ingezet bij APT’sVoor persistence, laterale beweging en datadiefstal
Misbruikt vertrouwde processenZoals scripts, systeemservices of beheertools

⚙️ Veelgebruikte LotL-tools

ToolBeschrijving
PowerShellAutomatiseringstool, vaak gebruikt voor downloads en command execution
WMIVoor laterale beweging en procesbeheer
PsExecMicrosoft-tool voor remote command execution
certutilWordt misbruikt voor bestandsoverdracht of decoding
RDPRemote desktop-toegang zonder extra software
schtasks / atTijdgeplande persistente payloads
BITSAdminData-exfiltratie via Background Intelligent Transfer Service

🔐 Voorbeelden in OT-context

ScenarioToelichting
PLC-configuraties downloaden via scriptPowerShell gebruikt om projectbestanden naar externe server te kopiëren
Personeelsaccount misbruikt voor loginRDP met legitieme credentials, zonder malware
Backdoor instellen met schtasksAanvalssoftware wordt dagelijks opnieuw geactiveerd
Historian-exfiltratie via WMIHistorische data wordt met vertrouwde services naar buiten gestuurd

🛡️ Beveiligingsmaatregelen tegen LotL

MaatregelToelichting
Application WhitelistingBlokkeer tools zoals PowerShell of WMI tenzij expliciet nodig
Logging & SIEMDetecteer afwijkend gebruik van systeemtools
Least PrivilegeBeperk wie tools mag gebruiken
EDRHerken gedragspatronen i.p.v. alleen bekende malware
Security AwarenessOperators herkennen verdachte scripts of processen
NetwerksegmentatieBeperk waar deze tools verbindingen naartoe kunnen maken

✅ Best practices

  • Schakel PowerShell uit waar niet nodig, of beperk via Group Policy
  • Monitor gebruik van cmd.exe, powershell.exe, wscript.exe, mshta.exe, enz.
  • Gebruik Code Signing en Patchmanagement om misbruik te beperken
  • Analyseer Baseline gedrag per systeem om afwijkingen snel te herkennen
  • Gebruik Anomaliedetectie voor laterale beweging of ongebruikelijke scriptactiviteit

📌 Samengevat

Living Off The Land-aanvallen zijn lastig te detecteren omdat ze niets “verdachts” installeren. Zeker in OT zijn sterke restricties, Logging en bewustwording nodig om misbruik van ingebouwde tools te voorkomen.

Grafiekweergave

Backlinks