IT OT Convergentie

Living Off The Land

2 minuten leestijd

Wat is Living Off The Land (LotL)?

Living Off The Land (LotL) is een aanvalstechniek waarbij legitieme, ingebouwde tools of software op een systeem worden misbruikt voor kwaadaardige doeleinden. Hierdoor kunnen aanvallers zich verbergen in het normale gedrag van systemen, en detectie omzeilen.

In OT-omgevingen is LotL extra gevaarlijk, omdat systemen vaak zwakke Logging en Monitoring hebben, en tools zoals PowerShell of PsExec standaard beschikbaar zijn.

🧠 Kenmerken van LotL-aanvallen

Kenmerk Toelichting
Gebruikt legitieme software Geen malware nodig, alleen standaardtools
Moeilijk detecteerbaar Acties lijken op normaal gebruik
Wordt vaak ingezet bij APT’s Voor persistence, laterale beweging en datadiefstal
Misbruikt vertrouwde processen Zoals scripts, systeemservices of beheertools

⚙️ Veelgebruikte LotL-tools

Tool Beschrijving
PowerShell Automatiseringstool, vaak gebruikt voor downloads en command execution
WMI Voor laterale beweging en procesbeheer
PsExec Microsoft-tool voor remote command execution
certutil Wordt misbruikt voor bestandsoverdracht of decoding
RDP Remote desktop-toegang zonder extra software
schtasks / at Tijdgeplande persistente payloads
BITSAdmin Data-exfiltratie via Background Intelligent Transfer Service

🔐 Voorbeelden in OT-context

Scenario Toelichting
PLC-configuraties downloaden via script PowerShell gebruikt om projectbestanden naar externe server te kopiëren
Personeelsaccount misbruikt voor login RDP met legitieme credentials, zonder malware
Backdoor instellen met schtasks Aanvalssoftware wordt dagelijks opnieuw geactiveerd
Historian-exfiltratie via WMI Historische data wordt met vertrouwde services naar buiten gestuurd

🛡️ Beveiligingsmaatregelen tegen LotL

Maatregel Toelichting
Application Whitelisting Blokkeer tools zoals PowerShell of WMI tenzij expliciet nodig
Logging & SIEM Detecteer afwijkend gebruik van systeemtools
Least Privilege Beperk wie tools mag gebruiken
EDR Herken gedragspatronen i.p.v. alleen bekende malware
Security Awareness Operators herkennen verdachte scripts of processen
Netwerksegmentatie Beperk waar deze tools verbindingen naartoe kunnen maken

✅ Best practices

  • Schakel PowerShell uit waar niet nodig, of beperk via Group Policy
  • Monitor gebruik van cmd.exe, powershell.exe, wscript.exe, mshta.exe, enz.
  • Gebruik Code Signing en Patchmanagement om misbruik te beperken
  • Analyseer Baseline gedrag per systeem om afwijkingen snel te herkennen
  • Gebruik Anomaliedetectie voor laterale beweging of ongebruikelijke scriptactiviteit

📌 Samengevat

Living Off The Land-aanvallen zijn lastig te detecteren omdat ze niets “verdachts” installeren. Zeker in OT zijn sterke restricties, Logging en bewustwording nodig om misbruik van ingebouwde tools te voorkomen.

Grafiekweergave

Backlinks