Pentesting - Living off the Land:

Bij DeepBlue Security & Intelligence is het uitvoeren van pentesten een van onze specialiteiten en wij doen dit dan ook op een dagelijkse basis. Onze ervaren specialisten gebruiken een waslijst aan bestaande en nieuwe speciale technieken om real-life aanvallen te simuleren zonder gedetecteerd te worden. Vaak met succes, want met regelmaat stellen wij onze klanten de vraag of ze überhaupt iets opgemerkt hebben van onze werkzaamheden en met grote regelmaat moeten ze ons een positief antwoord verschuldigd blijven.

Een standaard techniek binnen ons cyber security domein is het gebruik maken van bestaande, legitieme tools voor aanvallen inmiddels gemeengoed. Deze aanpak staat bekend als "Living off the Land" (LotL) en is een standaardtechniek bij zowel Red teaming als geavanceerde penetratietesten. LotL maakt gebruik van tools die standaard aanwezig zijn in besturingssystemen, waardoor detectie door antivirus- en endpoint beveiliging een heel stuk moeilijker is.

Living off the Land?

Living off the Land (LotL) is een aanvalstechniek waarbij een aanvaller of pentester gebruikmaakt van reeds aanwezige, door het systeem vertrouwde tools om kwaadaardige aanvallende acties uit te voeren. In plaats van het gebruik van externe malware of exploits, worden standaardcomponenten zoals command-line utilities, systembinaries en scripts gebruikt om toegang te verkrijgen, lateraal te verplaatsen of data te exfiltreren. Doordat de gebruikte tools onderdeel uitmaken van het besturingssysteem, vallen ze buiten veel traditionele detectie- en preventiemechanismen.

Deze tools worden vaak aangeduid als LOLBins (Living off the Land Binaries). De term wordt uitgebreid met LOLScripts (zoals standaard scripts in PowerShell) en LOLLibs (zoals bepaalde DLL's die geladen kunnen worden). Door op deze manier gebruik te maken van bestaande en reeds aanwezige tools kun je als hacker of pentester onopvallend te werk gaan.

Voorbeelden van veelgebruikte LOLBins:

• certutil.exe (Windows): kan bestanden downloaden via HTTP(S) en base64-decoderen.
• powershell.exe: scriptingtool met directe toegang tot het .NET-framework, vaak misbruikt voor payload-executie.
• wmic.exe: gebruikt voor systeeminformatie, maar ook voor remote command execution.
• rundll32.exe: voert DLL's uit, inclusief kwaadaardige.
• bash/curl/wget (Linux): ophalen van payloads of uitvoeren van shellcommands via internet.

Waarom werkt dit zo goed?

Omdat deze tools standaard aanwezig zijn en legitiem gebruikt worden binnen IT-beheerprocessen, worden ze vaak vertrouwd door antivirussoftware, EDR-oplossingen en netwerkmonitoring. Dit maakt detectie uitdagend. Bovendien laat LotL-aanvalstechniek zich gemakkelijk automatiseren en combineren met andere technieken, zoals credential dumping of privilege escalation.

Een typisch aanvalspad:

1. Initial Access: Een gebruiker opent een malafide macro die PowerShell aanroept.
2. Payload Retrieval: PowerShell of certutil wordt gebruikt om een tweede payload te downloaden.
3. Command & Control: Met powershell wordt een verbinding met een C2-server opgezet.
4. Lateral Movement: Met WMIC of PsExec worden commando’s op andere systemen uitgevoerd.
5. Exfiltration: Data wordt versleuteld en via curl of PowerShell naar een externe server verstuurd.

De rol van een SOC bij het detecteren van LotL-technieken

Een goed ingericht Security Operations Center (SOC) speelt een cruciale rol in het detecteren van LotL-aanvallen. Omdat deze technieken legitieme processen gebruiken, is traditionele signature-based detectie vaak niet voldoende. Een SOC gebruikt gedragsanalyse, threat hunting en geavanceerde logcorrelatie om afwijkingen te signaleren.

Voorbeelden van SOC-capaciteiten die helpen bij LotL-detectie:

• Use-case gebaseerde detectie: detecteer bijvoorbeeld abnormaal gebruik van rundll32.exe of scripts die van internet worden geladen via certutil.exe.
• Threat intelligence koppeling: SOC's koppelen gedrag aan bekende TTP's (tactics, techniques & procedures) uit bijvoorbeeld MITRE ATT&CK.
• Automatische alerting via SIEM/EDR: wanneer systeemcomponenten worden misbruikt in niet-standaard patronen.
• Retrospectieve analyse: een SOC kan gebeurtenissen terugkijken in log data om na te gaan of een aanval eerder in stilte heeft plaatsgevonden.

Verdedigen?

Detectie en mitigatie van LotL-aanvallen vereist een gedragsgerichte aanpak. Enkele maatregelen:

• Command line logging en auditing: Log alle commando’s met tools als Sysmon (Windows) of AuditD (Linux).
• AppLocker of Windows Defender Application Control (WDAC): Beperk welke binaries uitgevoerd mogen worden.
• SIEM-analyse: Stel regels in voor afwijkend gebruik van tools als certutil.exe, powershell.exe of wmic.exe.
• EDR tuning: Moderne EDR’s kunnen afwijkend gedrag herkennen, mits goed afgestemd op de organisatie.
• Least privilege model: Voorkom dat gebruikers met standaardrechten kritieke systemen kunnen beheren.

Dus

Living off the Land is een krachtige, stealthy techniek die in vrijwel elke professionele pentest of aanvalsscenario voorkomt. Voor organisaties is het van cruciaal belang om inzicht te hebben in welke standaardtools binnen hun systemen aanwezig zijn, hoe ze worden gebruikt, en hoe afwijkend gedrag vroegtijdig kan worden gedetecteerd.

Een actief, goed afgestemd SOC met gebruik van gedragsanalyse en logmonitoring is een van de meest effectieve manieren om deze technieken tijdig te detecteren. Door gebruik van bestaande functionaliteiten te beperken tot wat strikt noodzakelijk is en afwijkingen systematisch te onderzoeken, versterk je jouw cyberverdediging aanzienlijk.

Wil je weten of jouw organisatie kwetsbaar is voor LotL-technieken? Onze pentesters bij DeepBlue kunnen iedere gewenste pentest uitvoeren om dit te beoordelen en concrete aanbevelingen te doen.
Of wilt u meer weten over deze of een van onze andere maatwerk diensten neem dan contact met ons op via info@deepbluesecurity.nl of bel ons op 070 800 2025

‍