Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Living Off the Land (LOTL)-aanvallen: Gids voor detectie en preventie
Cybersecurity 101/Beveiliging van eindpunten/Living Off the Land (LOTL)

Living Off the Land (LOTL)-aanvallen: Gids voor detectie en preventie

Living Off the Land (LOTL)-aanvallen maken gebruik van native OS-tools zoals PowerShell en WMI om beveiligingsmaatregelen te omzeilen. Deze gids behandelt de fasen van de aanval, praktijkvoorbeelden en verdedigingsstrategieën.

CS-101_Endpoint.svg
Inhoud
Wat zijn Living Off the Land (LOTL)-aanvallen?
Technieken en tools achter Living Off the Land-aanvallen
Veelvoorkomende LOLBins en hun malafide toepassingen
Hoe Living Off the Land-aanvallen werken
Fase 1: Initiële toegang
Fase 2: Uitvoering
Fase 3: Discovery en toegang tot inloggegevens
Fase 4: Laterale beweging
Fase 5: Persistentie en impact
Waarom Living Off the Land-aanvallen slagen
Praktijkvoorbeelden van LOTL-campagnes: statelijke actoren en ransomware-operators
Uitdagingen bij het stoppen van Living Off the Land-aanvallen
Hoe Living Off the Land-aanvallen te detecteren
Gedragssignalen om te monitoren
Belangrijke logbronnen
Veelgemaakte fouten in Living Off the Land-verdediging
Hoe Living Off the Land-aanvallen te voorkomen
Belangrijkste punten

Gerelateerde Artikelen

  • Wat is sandboxing in cybersecurity? Dreigingen detecteren
  • Wat is mobiele malware? Soorten, methoden en voorbeelden
  • Wat is een whitelist voor applicaties?
  • Wat is endpointbeveiliging? Belangrijkste kenmerken, soorten en bedreigingen
Auteur: SentinelOne
Bijgewerkt: May 8, 2026

Wat zijn Living Off the Land (LOTL)-aanvallen?

Een aanvaller bevindt zich gedurende langere tijd in uw netwerk. Geen aangepaste malware. Geen verdachte uitvoerbare bestanden. Elke actie maakt gebruik van tools die standaard bij uw besturingssysteem zijn geleverd. Dit is de gedocumenteerde realiteit van Volt Typhoon, een door de Volksrepubliek China gesponsorde dreigingsactor die toegang behield tot kritieke infrastructuur in de VS, waaronder communicatie-, energie-, transport- en watersystemen, met behulp van native systeemtools en geldige inloggegevens, volgens een CISA-advies.

Living off the land, of LOTL, is een klasse van aanvallersgedrag waarbij misbruik wordt gemaakt van native tools en processen die al op een doelsysteem aanwezig zijn. Aanvallers gebruiken deze vertrouwde, vooraf geïnstalleerde binaries, bekend als Living Off the Land Binaries of LOLBins, om op te gaan in normale systeemactiviteit, discreet te opereren en het activeren van beveiligingsmaatregelen te vermijden. De door CISA in maart 2025 gepubliceerde richtlijn definieert deze aanpak als een manier waarop dreigingsactoren "het investeren in de ontwikkeling en uitrol van aangepaste tools vermijden" en tegelijkertijd de kans verkleinen dat ze worden ontdekt of geblokkeerd.

LOTL werkt op Windows, Linux, macOS, cloud- en hybride omgevingen. Op macOS wordt het equivalente concept "Living Off the Orchard" genoemd, of LOOBins. De techniek beslaat de volledige aanvalscyclus, van initiële uitvoering tot persistentie, laterale beweging, toegang tot inloggegevens en data-exfiltratie. Voor verdedigers betekent dit dat gedragszichtbaarheid en sterke controle over vertrouwde tools belangrijker zijn dan signatures voor bekende-malafide bestanden.

In plaats van malware te schrijven die door beveiligingstools kan worden herkend en in quarantaine geplaatst, gebruiken aanvallers PowerShell, WMI, certutil en andere tools die IT-teams dagelijks inzetten. Uw antivirus vertrouwt ze. Uw allowlists keuren ze goed. Uw SIEM verwacht ze. CISA's eigen red teams "gebruiken vaak publiek bekende LOTL-technieken voor uitvoering, persistentie, laterale beweging, discovery en toegang tot inloggegevens, waarbij netwerkverdedigers hun activiteiten zelden ontdekken," aldus de richtlijn van 2025. Om te begrijpen waarom dit zo effectief is, begint u bij de specifieke technieken en tools waarop aanvallers vertrouwen.

Technieken en tools achter Living Off the Land-aanvallen

LOTL-aanvallen delen een gemeenschappelijke set bouwstenen. Inzicht in deze componenten helpt om routinematig beheer te onderscheiden van actieve inbraak.

  • Living Off the Land Binaries (LOLBins): Dit zijn native, door het besturingssysteem ondertekende uitvoerbare bestanden die door aanvallers worden hergebruikt. Het LOLBAS Project, rechtstreeks genoemd door CISA, catalogiseert Windows LOLBins, terwijl GTFOBins Unix/Linux behandelt en LOOBins macOS dekt.
  • Geldige inloggegevens: LOTL werkt zelden zonder gestolen of gecompromitteerde accounts. Volt Typhoon gebruikte gecompromitteerde domeinbeheerder-inloggegevens voor RDP-laterale beweging binnen slachtofferomgevingen.
  • Fileless execution: Payloads draaien in het geheugen of via bestaande software zonder uitvoerbare bestanden naar schijf te schrijven. Dit helpt aanvallers antivirus-signatures te ontwijken. Een door SANS gedocumenteerde techniek gebruikt PowerShell's Get-Clipboard gecombineerd met Invoke-Expression om code uit te voeren die IOC ontwijkt.
  • Systeem-binary proxy-uitvoering: Geklasseerd onder MITRE T1218, dit houdt in dat vertrouwde, ondertekende binaries worden gebruikt om malafide payloads uit te voeren. De binary is legitiem, vaak door Microsoft ondertekend, maar de payload die wordt gestart is dat niet.
  • Command- en scripting-interpreters: PowerShell (T1059.001), Windows Command Shell (T1059.003) en Unix shells (T1059.004) geven aanvallers volledige scriptingmogelijkheden via tools waar uw organisatie van afhankelijk is.

Elk van deze technieken draait om een kleine set binaries die in campagne na campagne opduiken.

Veelvoorkomende LOLBins en hun malafide toepassingen

De onderstaande tabel koppelt de meest misbruikte LOLBins aan hun bedoelde functie en hoe aanvallers ze hergebruiken.

BinaryLegitiem doelMisbruik door aanvallerMITRE ID
PowerShellSysteembeheer, automatiseringUitvoering van code in het geheugen, verzamelen van inloggegevens

T1059.001

WMI / WMICBeheer van externe systemen, inventarisatieUitvoeren van processen op afstand, persistentie

T1047

certutil.exeCertificaatbeheerBestanden downloaden, Base64-codering/decodering

T1105

rundll32.exeLaden van DLL-functiesProxy-uitvoering van malafide DLL's

T1218.011

mshta.exeUitvoeren van HTML-applicatiesUitvoeren van malafide HTA-payloads vanaf externe URL's

T1218.005

netsh.exeNetwerkconfiguratiePort forwarding, aanpassen van firewallregels

T1090.001

Deze componenten worden gecombineerd tot aanvalsketens die moeilijk te detecteren zijn als uw tools vooral vertrouwen op bekende-malafide signatures of binary-reputatie. De volgende stap is begrijpen hoe aanvallers ze samenvoegen.

Hoe Living Off the Land-aanvallen werken

Een typische LOTL-aanvalsketen verloopt in fasen, waarbij elke fase gebruikmaakt van native tools die thuishoren op het systeem.

Fase 1: Initiële toegang

De aanvaller krijgt toegang via een phishingmail, misbruikte kwetsbaarheid of gecompromitteerde inloggegevens. Volt Typhoon maakte misbruik van publiek toegankelijke netwerkapparaten. APT28's "Nearest Neighbor"-campagne gebruikte Wi-Fi in de buurt van het doelwit om initiële toegang te verkrijgen.

Fase 2: Uitvoering

In plaats van een aangepaste binary te plaatsen, roept de aanvaller native interpreters aan. PowerShell voert code uit in het geheugen. WMI start processen op afstand. De Black Basta-ransomwareoperatie gebruikte WMI via Cobalt Strike om payloads uit te rollen over slachtofferomgevingen, waarbij native systeemtools werden gekoppeld voor laterale uitvoering.

Fase 3: Discovery en toegang tot inloggegevens

Tools zoals ntdsutil halen Active Directory-databases op. CISA documenteerde dat Volt Typhoon het commando ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" uitvoerde om inloggegevens te dumpen. PowerShell bevraagt event logs. net localgroup administrators brengt privilegegrenzen in kaart.

Fase 4: Laterale beweging

RDP-sessies gebruiken geldige beheerdersreferenties. SMB verplaatst bestanden tussen hosts. netsh maakt port proxy-regels aan om verkeer om te leiden. Elke stap gebruikt een tool die uw IT-team om legitieme redenen zou kunnen inzetten.

Fase 5: Persistentie en impact

Geplande taken, WMI-subscripties en registerwijzigingen behouden toegang. Bij ransomware-operaties is de encryptor zelf mogelijk het enige niet-native onderdeel in de keten, pas ingezet nadat de aanvaller LOLBins heeft gebruikt om elk doelwit in kaart te brengen, toegang te verkrijgen en voor te bereiden.

Het hele proces beslaat meerdere ATT&CK-tactieken, van uitvoering tot ontwijking van verdediging, persistentie, toegang tot inloggegevens, command & control en laterale beweging. Door LOTL op te delen in fasen wordt duidelijk waarom beveiligingsmaatregelen het zo vaak missen: het echte voordeel van de aanvaller komt voort uit het feit dat uw omgeving deze tools vertrouwt.

Waarom Living Off the Land-aanvallen slagen

LOTL-aanvallen slagen omdat ze gebruikmaken van architecturale aannames in uw beveiligingsstack en operationele workflows.

  • Vertrouwd door ontwerp. LOLBins hebben geldige bestands-hashes en digitale handtekeningen van de leverancier van het besturingssysteem. CISA stelt dat deze "vertrouwde attributen netwerkverdedigers kunnen misleiden" om te denken dat ze voor alle gebruikers veilig zijn.
  • Onzichtbaar voor signatures. Een peer-reviewed studie in Cybersecurity documenteert een specifieke bypass: aanvallers voegen speciale tekens toe aan command-line code die de Windows-interpreter bij runtime verwijdert, waardoor het uitgevoerde commando verschilt van wat regels evalueren.
  • Verborgen in standaardlogging. CISA bevestigt dat LOTL-technieken bewust "activiteit in logs beperken". Als u standaard Windows-logging gebruikt, mist u command-line argumenten, PowerShell-scriptblock-inhoud en procesafstammingsketens.
  • Versterkt door alert-moeheid. Brede LOLBin-regels genereren veel false positives. CISA's advies over Russische GRU-doelwitten waarschuwt dat "meer heuristieken nodig zijn" voor effectief zoeken naar LOTL-binaries om te voorkomen dat men wordt overspoeld door false positives. Wanneer analisten alerts niet meer vertrouwen, krijgen LOTL-operators meer ruimte om te opereren.
  • Verlengd door dwell time. Volt Typhoon bleef langdurig aanwezig. Elke dag zonder identificatie is een extra dag voor verkenning, verzamelen van inloggegevens en voorbereidingen.

Deze omstandigheden maken LOTL moeilijk te detecteren, zelfs in volwassen omgevingen. Praktijkvoorbeelden laten zien hoe deze voordelen uitpakken.

Praktijkvoorbeelden van LOTL-campagnes: statelijke actoren en ransomware-operators

Inzicht in hoe echte aanvallers LOLBins combineren maakt de dreiging concreet.

  • Volt Typhoon (PRC) behield langdurig toegang tot communicatie-, energie-, transport- en watersystemen in de VS. Gedocumenteerde tools zijn onder andere wmic, ntdsutil, netsh, PowerShell en RDP, allemaal beschreven in het Volt Typhoon-profiel.
  • APT28 / Fancy Bear (Rusland/GRU) voerde de Nearest Neighbor-campagne uit over meerdere jaren, met gebruik van reg save om SAM-hives te dumpen, vssadmin voor NTDS.dit-extractie, netsh portproxy voor interne proxies en PowerShell voor toegang tot inloggegevens en datacompressie voorafgaand aan exfiltratie.
  • FIN7 gebruikt PowerShell met aangepaste obfuscatie, POWERTRASH, een aangepaste PowerSploit, rundll32.exe voor DLL-uitvoering en geldige accounts volgens het FIN7-profiel bij financiële doelwitten.

Het patroon in deze campagnes is consistent: vertrouwde tools, geldige inloggegevens en minimale aangepaste code. Dat patroon laat ook de specifieke uitdagingen voor verdedigers zien.

Uitdagingen bij het stoppen van Living Off the Land-aanvallen

Zelfs organisaties met volwassen beveiligingsprogramma's hebben moeite met LOTL omdat de technieken gebruikmaken van hiaten die traditionele tools niet aanpakken.

  • Contextverlies op schaal. Hetzelfde PowerShell-commando kan routinematig beheer of actieve inbraak betekenen. In ICS/OT-omgevingen documenteert SANS de extreme variant: aanvallers wijzigden HMI's en programmeerden controllers opnieuw via standaard engineering-workflows.
  • Structurele tekortkomingen in SIEM. SIEMs falen bij LOTL door hiaten in logdekking, zoals het ontbreken van command-line argumenten in standaardconfiguraties, regelbreekbaarheid, zoals statische patroonherkenning op gedrag dat niet overeenkomt met bekende-malafide patronen, en verlamming door false positives.
  • Cloud- en hybride zichtbaarheidshiaten. SANS stelt vast dat aanvallers nu cloudtools misbruiken om beheerdersrechten te verkrijgen en lateraal te bewegen tussen cloudomgevingen. Als uw verdediging alleen Windows-endpoints dekt, is dat onvoldoende.
  • Convergentie van statelijke actoren en ransomware. MITRE ATT&CK-mapping laat zien dat statelijke actoren, waaronder Volt Typhoon en APT28, en ransomware-operators, waaronder Black Basta en FIN7, nu vrijwel identieke technieken gebruiken: PowerShell, RDP, WMI, ntdsutil en systeem-binary proxy-uitvoering. U kunt uw verdediging niet per dreigingsactor segmenteren.

Deze uitdagingen werken direct door in de dagelijkse operatie. Ze overwinnen begint met weten hoe LOTL-activiteit eruitziet in uw telemetrie.

Hoe Living Off the Land-aanvallen te detecteren

LOTL-activiteit mist traditionele indicatoren van compromittering. Detectie vereist een verschuiving van focus van wat draait naar hoe en waarom het draait, met gebruik van gedragscontext in plaats van bestandsreputatie.

Gedragssignalen om te monitoren

CISA's gezamenlijke richtlijn van 2025 adviseert het toepassen van heuristieken zoals tijdstip, gebruikersrol en procesafstamming om malafide van routinematig LOLBin-gebruik te onderscheiden. Waardevolle signalen zijn onder andere:

  • PowerShell of cmd.exe gestart door Office-applicaties (Word, Excel, Outlook)
  • ntdsutil of vssadmin uitgevoerd door niet-beheerdersaccounts
  • certutil gebruikt voor het downloaden van bestanden in plaats van certificaatbeheer
  • netsh die port proxy-regels aanmaakt of firewallconfiguraties wijzigt buiten wijzigingsvensters
  • rundll32.exe die DLL's laadt vanuit tijdelijke of door gebruikers beschrijfbare mappen
  • Aanmaken van geplande taken of WMI-subscripties buiten onderhoudsvensters

SANS pleit voor een flexibele baseline-aanpak met PowerShell-reguliere expressies op eventlogvelden, waarbij regels iteratief worden verfijnd naarmate u het normale patroon van uw omgeving leert kennen. Die signalen komen alleen naar voren als de juiste telemetrie uw analyse voedt.

Belangrijke logbronnen

Standaard loggingconfiguraties missen het grootste deel van LOTL-activiteit. CISA prioriteert het inschakelen van het volgende:

  • PowerShell ScriptBlock- en Module Logging
  • Command-line procescreatie-auditing (Event ID 4688 met argumenten)
  • Sysmon voor procescreatie, netwerkverbindingen en bestandsgebeurtenissen
  • WMI-activiteitlogging (Event ID's 5857–5861)

Verzamel deze logs op een centrale, write-once locatie en pas user and entity behavior analytics (UEBA) toe om afwijkingen ten opzichte van vastgestelde baselines te signaleren.

Zelfs met de juiste telemetrie maken teams vaak vermijdbare fouten die hun detectievermogen ondermijnen.

Veelgemaakte fouten in Living Off the Land-verdediging

Securityteams die het LOTL-risico onderkennen, ondermijnen hun eigen verdediging toch door terugkerende operationele hiaten.

  1. Algemene toestemmingsbeleid voor LOLBins. Vertrouwen dat legitieme IT-tools overal veilig zijn, vergroot het aanvalsoppervlak. CISA's richtlijn van 2025 waarschuwt hier expliciet voor.
  2. Draaien op standaard loggingconfiguraties. Als u PowerShell ScriptBlock Logging, Module Logging, command-line process auditing en WMI-activiteitlogging niet heeft ingeschakeld, mist u de telemetrie die LOTL-analyse vereist.
  3. Afwezigheid van alerts gelijkstellen aan afwezigheid van compromittering. Stilte betekent niet dat het veilig is.
  4. IT-incident response playbooks toepassen op ICS/OT. SANS waarschuwt dat IT-controls schade kunnen veroorzaken als ze direct op industriële omgevingen worden toegepast.
  5. Tools als vervanging voor analyst-vaardigheid. Tools ondersteunen, maar kunnen analyst-vaardigheid voor LOTL-contextbeoordeling niet vervangen. Regels bouwen zonder te investeren in threat hunting levert ruis op, geen verdediging.

Het vermijden van deze fouten begint met maatregelen die zichtbaarheid vergroten, misbruik van vertrouwen beperken en analisten meer context bieden.

Hoe Living Off the Land-aanvallen te voorkomen

Preventie richt zich op het verkleinen van het aanvalsoppervlak dat LOTL uitbuit: te ruime tooltoegang, zwakke authenticatie en onvoldoende beperkingen op scriptingomgevingen.

  • Schakel centrale, uitgebreide logging in. CISA's hoogste prioriteit is brede logging, verzameld op een out-of-band, write-once locatie. Zonder uitgebreide telemetrie over PowerShell, procescreatie en WMI-activiteit is gedragsanalyse niet mogelijk.
  • Implementeer applicatie-allowlisting. Gebruik AppLocker of Windows Defender Application Control, WDAC, om LOLBin-uitvoering te beperken per gebruiker, pad en uitgever. Blokkeer of beperk mshta.exe, psexec.exe, certutil.exe, wmic.exe en rundll32.exe behalve voor goedgekeurde beheerdersaccounts. Begin in auditmodus voordat u afdwingt.
  • Handhaaf PowerShell Constrained Language Mode. CLM beperkt geavanceerde scriptingmogelijkheden, blokkeert .NET-methoden zoals [Convert]::FromBase64String() en behoudt basis-cmdletfunctionaliteit. Combineer dit met het AllSigned-uitvoeringsbeleid en Just Enough Administration, of JEA.
  • Implementeer phishing-resistente MFA. CISA noemt dit een directe prioriteit ter verdediging tegen LOTL. Dwing MFA af, specifiek voor RDP, VPN en remote monitoring and management (RMM)-toegang volgens CISA RMM-richtlijn.
  • Adopteer Zero Trust-architectuur. CISA en NSA bevelen Zero Trust sterk aan als langetermijnstrategie. LOTL slaagt omdat perimeterverdediging interne tools en geauthenticeerde sessies impliciet vertrouwt. Zero Trust verwijdert dat impliciete vertrouwen via microsegmentatie, least-privilege access en continue verificatie.

Deze maatregelen verhogen de kosten van LOTL voor een aanvaller. Om ze op machinesnelheid af te dwingen, heeft u een platform nodig dat is gebouwd rond gedragscontext.

Bescherm uw eindpunt

Bekijk hoe AI-aangedreven endpointbeveiliging van SentinelOne u kan helpen cyberbedreigingen in realtime te voorkomen, te detecteren en erop te reageren.

Vraag een demo aan

Belangrijkste punten

Living off the land-aanvallen misbruiken vertrouwde, native systeemtools om signature-gebaseerde verdediging te omzeilen. Statelijke actoren en ransomware-operators gebruiken nu vergelijkbare LOTL-technieken in Windows-, Linux-, cloud- en OT-omgevingen. 

Om ze te stoppen heeft u uitgebreide logging, gedragsbaselines, applicatiecontrole, Zero Trust-architectuur en gedrags AI-cybersecurity nodig die malafide intentie onderscheidt van legitiem toolgebruik. Platformen die volledige aanvalsketens autonoom correleren, zoals Singularity, vervangen de handmatige onderzoeksinspanning waar LOTL van profiteert.

Veelgestelde vragen

Een living off the land-aanval is een type vijandig gedrag waarbij aanvallers gebruikmaken van native, vooraf geïnstalleerde systeemtools en vertrouwde binaries, in plaats van aangepaste malware, om hun doelen te bereiken. 

Door gebruik te maken van tools zoals PowerShell, WMI en certutil die al aanwezig en goedgekeurd zijn op het doelsysteem, gaan aanvallers op in normaal administratief gedrag en vermijden ze het activeren van op signatures gebaseerde beveiligingsmaatregelen.

LOTL richt zich op de bron van tools, door misbruik te maken van legitieme, vooraf geïnstalleerde systeembinaries. Fileless malware richt zich op de uitvoeringsmethode, waarbij het schrijven van bestanden naar de schijf wordt vermeden. Ze overlappen vaak: een aanvaller kan een fileless PowerShell-payload uitvoeren met behulp van een native OS-binary. 

Echter, fileless aanvallen kunnen aangepaste tools gebruiken, en LOTL kan het schrijven van bestanden naar de schijf omvatten via vertrouwde, ondertekende binaries zoals gecategoriseerd onder MITRE ATT&CK T1218.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) en cmd.exe (T1059.003) komen vaak voor in gedocumenteerde campagnes. Aanvallers geven de voorkeur aan deze binaries omdat ze vooraf geïnstalleerd zijn, digitaal ondertekend door de OS-leverancier, en in staat zijn om code uit te voeren, bestanden te downloaden of processen te starten zonder waarschuwingen te genereren. 

Het LOLBAS Project onderhoudt de gezaghebbende catalogus voor Windows, terwijl GTFOBins Linux dekt en LOOBins macOS dekt.

Legacy antivirus die afhankelijk is van signatures kan dit niet, omdat LOLBins geldige OS-leverancier hashes en digitale handtekeningen bevatten. Gedragsmatige AI-gebaseerde endpointbescherming kan dit wel, door procesrelaties, commandoregelargumenten en afwijkingen van vastgestelde baselines in realtime te volgen. 

Uw platform moet procesketens correleren over endpoint, identiteitssystemen en netwerktelemetrie om LOTL-gedrag te detecteren. Zonder die domeinoverstijgende zichtbaarheid lijken individuele LOTL-incidenten onschuldig.

Begin met gedragscontext, niet met binairenamen. Zoek naar PowerShell die wordt gestart vanuit Office-toepassingen, ntdsutil-uitvoering door niet-beheerdersaccounts, of certutil die wordt gebruikt voor het downloaden van bestanden. CISA raadt aan om aanvullende heuristieken te gebruiken, zoals tijdstip, gebruikersrol en procesafstamming, om resultaten te filteren. 

SANS adviseert een flexibele baseline-benadering met reguliere expressies toegepast op eventlogvelden. Verfijn regels iteratief naarmate u de normale patronen van uw omgeving leert kennen.

Aangepaste malware laat unieke artefacten achter die door threat intelligence-teams kunnen worden gefingeprint, toegeschreven en waarvoor signatures kunnen worden gemaakt. LOTL vermindert dat risico omdat elk commando een tool gebruikt die thuishoort op het systeem. 

CISA bevestigt dat PRC-actoren LOTL specifiek gebruiken om "op te gaan in normale systeem- en netwerkactiviteiten, identificatie door netwerkverdediging te vermijden en de hoeveelheid activiteit die wordt vastgelegd in standaardlogconfiguraties te beperken."

Ontdek Meer Over Beveiliging van eindpunten

Wat is endpointbeheer? Beleid en oplossingenBeveiliging van eindpunten

Wat is endpointbeheer? Beleid en oplossingen

Effectief eindpuntbeheer is cruciaal voor de beveiliging. Ontdek strategieën om eindpunten in uw hele organisatie te beheren en te beveiligen.

Lees Meer
Wat is EDR (Endpoint Detection and Response)?Beveiliging van eindpunten

Wat is EDR (Endpoint Detection and Response)?

Endpoint Detection and Response (EDR) is de cyberbeveiligingsoplossing die wordt gebruikt om opkomende bedreigingen op eindpunten, netwerken en mobiele apparaten te bestrijden. Ontdek hoe EDR bedrijven helpt om veilig te blijven.

Lees Meer
Wat is NDR (Network Detection and Response)?Beveiliging van eindpunten

Wat is NDR (Network Detection and Response)?

Network Detection and Response (NDR) verbetert de netwerkbeveiliging. Ontdek hoe NDR-oplossingen kunnen helpen bij het effectief detecteren van en reageren op bedreigingen.

Lees Meer
Wat is RASP (Runtime Application Self-Protection)?Beveiliging van eindpunten

Wat is RASP (Runtime Application Self-Protection)?

Runtime Application Self-Protection (RASP) beveiligt applicaties in realtime. Ontdek hoe RASP uw applicatiebeveiligingsstrategie kan verbeteren.

Lees Meer
Endpoint Security die bedreigingen sneller en op grotere schaal tegenhoudt dan menselijkerwijs mogelijk is.

Endpoint Security die bedreigingen sneller en op grotere schaal tegenhoudt dan menselijkerwijs mogelijk is.

Eén intelligent platform voor superieure zichtbaarheid en bedrijfsbrede preventie, detectie en reactie over uw hele aanvalsoppervlak, van endpoints en servers tot mobiele apparaten.

Beveilig het eindpunt
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch