СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

Living Off the Land (LOL): векторы атак и обход обнаружения

Новый отчет подробно описывает тенденцию Living Off the Land (LOL) — практику, при которой злоумышленники используют встроенные в систему и легитимные инструменты для проведения атак, минимизируя риск обнаружения. Вместо традиционного malware атакующие опираются на существующие двоичные файлы и скрипты, известные как LOLBins и LOLBAs, чтобы выполнять широкий спектр вредоносных действий под прикрытием обычной административной активности.

«PowerShell остается основным инструментом для действий после эксплуатации благодаря своей универсальности и широкой доступности в средах Windows.»

Почему это опасно

Использование легитимных средств затрудняет обнаружение: системные журналы и средства EDR часто интерпретируют такие действия как административные. В то же время эти инструменты обеспечивают атакам ту же функциональность, что и традиционные вредоносные программы — разведка, сбор учетных данных, перемещение по сети, установка устойчивых каналов связи и эксфильтрация данных.

Инструменты и методы разведки

На этапе разведки злоумышленники стремятся выявить потенциально ценные цели и слабые места в защите сети. В арсенале — как явно мониторируемые средства, так и те, которые часто остаются незамеченными:

  • PowerShell и системные командные интерфейсы — для перечисления процессов, служб и проверки наличия средств безопасности;
  • Инструменты для работы с Active Directory: ADSI, а также менее заметные утилиты — nltest, dsquery, setspn;
  • Устаревшие, но по-прежнему эффективные команды из набора net, которые часто игнорируются современными системами логирования.

Сбор учетных данных и эскалация привилегий

Ключевая задача злоумышленника — получить учетные данные, чтобы расширить доступ внутри сети. Для этого применяются разные техники:

  • Извлечение учетных данных из памяти процессов, в частности из LSASS;
  • Доступ к архивам реестра и поиск незашифрованных паролей в файлах;
  • Kerberoasting — получение хешей учетных записей сервисов для последующего offline-атаки на пароли.

Перемещение внутри сети и удаленное выполнение

Чтобы действовать дальше, злоумышленники используют встроенные механизмы удаленного исполнения и администрирования:

  • WMI и DCOM — для удаленного выполнения команд и скриптов;
  • netsh — для манипуляций настройками брандмауэра и установки «бекдоров» под видом корректной конфигурации;
  • Такие подходы часто отображаются в логах как безвредные административные операции, что снижает шанс обнаружения.

Эксфильтрация данных и обход защитных механизмов

Методы вывоза данных и обхода политик защиты постоянно эволюционируют:

  • Каналы передачи через SMB, DNS и даже ICMP используются для скрытой эксфильтрации;
  • Техники обхода белых списков опираются на легитимные инструменты: MSBuild, Regsvr32, mshta — все они умеют запускать код под видом обычных задач администрирования.

Что это означает для организаций

Основной вывод — защита должна учитывать не только привычные сигнатуры вредоносного ПО, но и поведенческие индикаторы использования легитимных инструментов в злонамеренных целях. Ключевые направления усиления безопасности:

  • Мониторинг и контекстная корреляция событий связанных с PowerShell и утилитами для работы с Active Directory;
  • Защита и контроль доступа к процессам, хранящим учетные данные (например, LSASS), и минимизация числа сервисных аккаунтов с избыточными правами;
  • Применение принципа минимальных привилегий и ограничение использования административных инструментов;
  • Развертывание поведенческого детектирования и правил, которые отличают нормальную административную активность от подозрительных цепочек действий.

Заключение

Подход Living Off the Land демонстрирует, что граница между легитимным администрированием и атакой становится размыта: тот же самый инструмент, который нужен администраторам, может использоваться злоумышленниками для скрытой эксплуатации. Поэтому современная кибербезопасность требует комбинированного подхода — контроля доступа, продвинутого логирования и поведенческой аналитики — чтобы обнаруживать и нейтрализовывать подобные угрозы на ранних этапах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: