Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Living off the land

Aanvallen

Living off the land (LOTL)-aanvallen gebruiken legitieme programma’s en functies die al in het digitale domein aanwezig zijn, in plaats van malware van een externe bron binnen het domein te installeren. De heimelijke aard van deze aanvallen kan ze effectief maken, en lastig voor beveiligingsteams om te detecteren en voorkomen.

Living off the land (LOTL) is een aanvalstechniek waarbij cybercriminelen uitsluitend gebruikmaken van legitieme tools en programma's die al op het doelsysteem aanwezig zijn. In plaats van eigen malware te installeren, misbruiken aanvallers systeemtools als PowerShell, WMI, PsExec en andere ingebouwde beheerprogramma's om hun doelen te bereiken. Omdat deze tools vertrouwd en digitaal ondertekend zijn, omzeilt de aanvaller traditionele beveiligingsmaatregelen die zoeken naar bekende malware-signatures. LOTL-aanvallen worden ook wel fileless attacks genoemd vanwege het ontbreken van herkenbare malwarebestanden op schijf.

De techniek ontleent haar naam aan het survivalconcept "living off the land", waarbij je overleeft met wat de natuur je biedt in plaats van eigen voorraden mee te nemen. In cybersecurity betekent dit: de aanvaller "overleeft" met de tools die het besturingssysteem al biedt. Het is een van de snelst groeiende aanvalstechnieken van de afgelopen jaren, precies omdat het zo effectief is tegen traditionele beveiligingsmiddelen die vertrouwen op file-based detectie.

Hoe werkt living off the land?

De aanvaller verkrijgt eerst initieel toegang tot een systeem, vaak via phishing, een gecompromitteerd wachtwoord of een kwetsbaarheid in een webapplicatie. Eenmaal binnen gebruikt de aanvaller geen eigen tools maar de programma's die het besturingssysteem standaard meelevert. Deze worden LOLBins genoemd: Living Off the Land Binaries.

PowerShell is het meest misbruikte LOLBin en verschijnt in 71 procent van alle LOTL-aanvallen. Aanvallers gebruiken PowerShell om scripts uit te voeren die volledig in het geheugen draaien zonder bestanden naar schijf te schrijven. Ze downloaden payloads, exfiltreren data en bewegen lateraal door het netwerk, allemaal met een tool die standaard op elke Windows-machine staat. Windows Management Instrumentation (WMI) wordt ingezet voor remote code execution en het verzamelen van systeeminformatie. Andere veelgebruikte LOLBins zijn certutil (voor het downloaden van bestanden), mshta (voor het uitvoeren van scripts), regsvr32 en rundll32 (voor het laden van kwaadaardige DLL's).

Het LOLBAS-project (Living Off the Land Binaries, Scripts and Libraries) documenteert meer dan 200 Windows-binaries die aanvallers kunnen misbruiken. Volgens CrowdStrike maakte in 2024 maar liefst 84 procent van alle ernstige cyberaanvallen gebruik van legitieme systeemtools in plaats van aangepaste malware. Dat cijfer illustreert de verschuiving van file-based malware naar tool-based aanvallen.

Linux-omgevingen zijn niet immuun. Het GTFOBins-project catalogiseert honderden Unix-binaries die aanvallers kunnen misbruiken voor privilege escalation, bestandsoverdracht en het opzetten van reverse shells. Tools als curl, wget, python, perl en bash bieden vergelijkbare mogelijkheden als PowerShell op Windows.

Hoe herken je living off the land?

Detectie van LOTL-aanvallen is uitdagend omdat de gebruikte tools legitiem zijn. Traditionele antivirussoftware op basis van signatures herkent ze niet als kwaadaardig, want dat zijn ze technisch gezien ook niet. Je hebt gedragsgebaseerde detectie nodig die analyseert hoe tools worden gebruikt, niet welke tools worden gebruikt.

Concrete signalen zijn PowerShell-uitvoering met geobfusceerde commando's of base64-gecodeerde payloads, WMI-activiteit buiten kantooruren of vanaf ongebruikelijke accounts, onverwacht gebruik van beheertools door niet-beheeraccounts, laterale beweging tussen systemen via PsExec of remote WMI en certutil die bestanden downloadt van externe servers. Elk van deze activiteiten is individueel legitiem, maar de combinatie en context verraden kwaadaardig gebruik.

Een EDR-oplossing met gedragsanalyse is essentieel. EDR monitort procesketens (parent-child relaties) en detecteert wanneer een legitieme tool op een afwijkende manier wordt ingezet. Als Word.exe PowerShell start die vervolgens certutil aanroept om een bestand te downloaden, is dat een verdachte procesketen. SIEM-correlatie helpt door activiteiten op meerdere systemen aan elkaar te koppelen en patronen te herkennen die wijzen op een gecoerdineerde aanval.

User and Entity Behavior Analytics (UEBA) voegt een extra detectielaag toe door normale gebruikspatronen te leren en afwijkingen te signaleren. Als een gebruiker die normaal alleen Excel en Outlook gebruikt plotseling PowerShell-scripts uitvoert, genereert UEBA een alert ongeacht of de specifieke commando's bekend zijn als kwaadaardig.

Hoe bescherm je je tegen living off the land?

Beperk de beschikbaarheid van LOLBins waar mogelijk. Niet elke werkplek heeft PowerShell, WMI of certutil nodig. Gebruik application whitelisting om te controleren welke programma's gebruikers mogen uitvoeren. Windows AppLocker en Windows Defender Application Control (WDAC) bieden hiervoor mogelijkheden. Door alleen goedgekeurde applicaties toe te staan, blokkeer je het misbruik van tools die niet nodig zijn voor de functie van de gebruiker.

Schakel PowerShell Constrained Language Mode in op systemen waar PowerShell nodig is. Dit beperkt de functionaliteit tot veilige operaties en voorkomt het uitvoeren van willekeurige .NET-code en het laden van externe modules. Log alle PowerShell-activiteit via Script Block Logging en Module Logging, en stuur die logs naar je SIEM voor analyse en correlatie.

Implementeer het principe van least privilege consequent. Als gebruikers geen beheerdersrechten hebben, worden veel LOLBin-technieken onbruikbaar of significant minder effectief. Segmenteer je netwerk om laterale beweging te bemoeilijken en beperk de communicatie tussen werkstations onderling. Combineer preventieve maatregelen met continue monitoring via EDR en SIEM voor de meest effectieve verdediging tegen deze steeds prevalentere aanvalstechniek.

Threat hunting speelt een cruciale rol bij het detecteren van LOTL-aanvallen die door geautomatiseerde detectie glippen. Proactieve threat hunters zoeken actief naar indicatoren van compromis die niet als alert worden gegenereerd. Ze analyseren procesketens, zoeken naar ongebruikelijke combinaties van systeemtools en correleren activiteiten over meerdere systemen. Het MITRE ATT&CK framework biedt een gestructureerd overzicht van LOTL-technieken per aanvalsfase en is onmisbaar voor detectie-engineering. Nation-state actoren zoals Volt Typhoon en APT29 staan bekend om hun uitgebreide gebruik van LOTL-technieken bij langdurige spionagecampagnes.

Veelgestelde vragen over living off the land

Wat is het verschil tussen LOTL en fileless malware?

LOTL richt zich specifiek op het misbruiken van legitieme systeemtools die al aanwezig zijn. Fileless malware is breder en omvat elke aanvalstechniek die geen bestanden naar schijf schrijft, inclusief memory-only implants en registry-based malware. LOTL is een subset van fileless technieken.

Waarom is living off the land zo moeilijk te detecteren?

Omdat de aanvaller tools gebruikt die al op het systeem staan en digitaal ondertekend zijn door de fabrikant. Traditionele antivirus zoekt naar bekende malware-signatures, maar bij LOTL is er geen malware-bestand om te detecteren. Gedragsanalyse op basis van procesketens en contextinformatie is noodzakelijk.

Welke tools worden het meest misbruikt?

PowerShell staat bovenaan met 71 procent van de LOTL-aanvallen. Andere veelgebruikte tools zijn WMI, PsExec, certutil, mshta, regsvr32 en rundll32. Het LOLBAS-project documenteert meer dan 200 misbruikbare Windows-binaries en scripts.

Hoe bescherm je je zonder PowerShell uit te schakelen?

Schakel Constrained Language Mode in, activeer Script Block Logging, beperk uitvoering tot beheerders via groepsbeleid en monitor alle activiteit via je SIEM. JEA (Just Enough Administration) biedt nog fijnmazigere controle over PowerShell-functionaliteit.

Vallen LOTL-aanvallen onder APT's?

LOTL-technieken worden vaak ingezet door Advanced Persistent Threat groepen vanwege de moeilijke detecteerbaarheid en lange dwell time. Maar ook minder geavanceerde aanvallers gebruiken LOTL steeds vaker, juist omdat het effectief is tegen traditionele beveiliging.

Bescherm je tegen fileless aanvallen. Vergelijk Endpoint Detection & Response (EDR) aanbieders op IBgidsNL.