Living off the Land (LOTL)

Les attaques Living off the Land (LOTL) représentent l’une des menaces les plus insidieuses en cybersécurité car elles détournent les outils mêmes auxquels les organisations font confiance. Ces cyberattaques sophistiquées utilisent des logiciels légitimes et des utilitaires système déjà présents sur les réseaux ciblés pour mener des activités malveillantes. Les attaques LOTL sont particulièrement dangereuses car elles opèrent sans signatures classiques de malwares et laissent une empreinte numérique minimale.

Une attaque Living off the Land décrit une technique de cyberattaque dans laquelle les acteurs malveillants exploitent des outils système légitimes et préinstallés pour atteindre leurs objectifs malveillants. Plutôt que d’introduire des logiciels externes suspects que les systèmes de sécurité pourraient détecter, les attaquants détournent des utilitaires de confiance, comme PowerShell, Windows Management Instrumentation (WMI) et des outils d’administration, déjà présents dans l’environnement ciblé. Cette approche permet aux cybercriminels de se fondre dans les opérations normales du système et d’échapper aux mesures de sécurité traditionnelles.

Le vecteur d’attaque repose sur un principe fondamental : la plupart des opérations LOTL n’introduisent pas de nouveaux outils, mais réutilisent ceux déjà existants. Les attaquants exploitent les mêmes utilitaires en ligne de commande, environnements de scripts et outils d’administration utilisés quotidiennement par les administrateurs système. Cette stratégie s’avère particulièrement efficace, car les systèmes de sécurité font souvent confiance à ces outils natifs et ont du mal à distinguer les tâches administratives légitimes des activités malveillantes.

Les attaques LOTL s’inscrivent dans la catégorie plus large des malwares sans fichier, car elles s’exécutent principalement en mémoire système plutôt qu’en écrivant des fichiers sur le disque. Les commandes s’exécutent directement en RAM en utilisant des processus légitimes comme couverture. Cette approche entièrement en mémoire rend la détection extrêmement difficile, les solutions antivirus traditionnelles recherchant généralement des fichiers malveillants sur le disque dur plutôt que de surveiller les activités en mémoire. L’absence de signatures de fichiers traditionnelles permet à ces attaques de rester indétectées pendant de longues périodes, ce qui donne aux attaquants le temps de se déplacer latéralement à travers les réseaux et d’exfiltrer des données sensibles.

Dans le secteur gouvernemental, ces menaces deviennent de plus en plus problématiques. « Protéger les personnes et défendre les données sont des priorités permanentes pour les agences fédérales dont les missions sont constamment ciblées », déclare Garrett Guinivan, Staff Solutions Architect, U. S. Federal Team. « Ces entités peinent à suivre le rythme face à une multitude de menaces puissantes, comme les agents internes qui volent des secrets liés à la technologie des missiles, ou les acteurs malveillants qui utilisent des techniques living off the land (LOTL) », ajoute-t-il.

Les attaquants exploitent un vaste arsenal d’utilitaires système légitimes présents dans tous les environnements Windows. Ces outils semblent inoffensifs aux yeux des systèmes de sécurité car ils exécutent des commandes légitimes qui imitent les activités normales d’administration.

Outils natifs de Windows

Les attaquants détournent régulièrement des utilitaires système intégrés à Windows à des fins malveillantes.

• PowerShell : Les attaquants exploitent le langage de script de Microsoft pour exécuter du code à distance directement en mémoire, télécharger des charges utiles malveillantes depuis des serveurs de commande et de contrôle, et obscurcir des scripts pour échapper à la détection. Les commandes PowerShell peuvent automatiser des séquences d’attaque complexes tout en apparaissant comme des tâches classiques d’administration système.
• Windows Management Instrumentation (WMI) : Cette infrastructure de gestion permet aux attaquants d’exécuter des commandes à distance sur les réseaux et de manipuler les paramètres de sécurité, comme la désactivation de Windows Defender. WMI crée des canaux de mouvement latéral qui se fondent parfaitement dans les activités légitimes de gestion système.
• CertUtil : Conçu à l’origine pour la gestion des certificats, cet utilitaire est souvent détourné par les cyberattaquants pour télécharger et décoder des fichiers malveillants, échappant ainsi aux systèmes de détection réseau. Les attaquants utilisent CertUtil car ses capacités de transfert de fichiers apparaissent comme des opérations standard liées aux certificats.
• Regsvr32 : Cet utilitaire d’enregistrement de DLL peut exécuter des scripts malveillants et télécharger des charges utiles depuis des sources distantes comme GitHub. Les systèmes de sécurité font généralement confiance à Regsvr32 car il accomplit des fonctions essentielles d’enregistrement système.
• Rundll32 : Les attaquants abusent de cet utilitaire Windows pour charger et exécuter des fichiers DLL malveillants tout en conservant l’apparence de processus système légitimes. La capacité de cet outil à exécuter du code arbitraire le rend particulièrement précieux pour les attaques sans fichier.

Utilitaires d’administration

Les outils d’administration système offrent aux attaquants des capacités puissantes utilisées quotidiennement par les professionnels IT pour la gestion réseau.

• PsExec : Cet outil SysInternals permet l’exécution de commandes à distance sur différents systèmes, permettant aux attaquants de se déplacer latéralement dans les réseaux tout en imitant les actions standard des administrateurs. Les activités de PsExec se confondent souvent avec les tâches légitimes de gestion à distance effectuées par les administrateurs système.
• Task scheduler : Les attaquants assurent leur persistance en créant des tâches planifiées qui exécutent des commandes malveillantes à des intervalles définis. Ces exécutions planifiées apparaissent comme des opérations de maintenance système courantes plutôt que comme des actions malveillantes.

LOLBins couramment détournés

Les Living off the Land Binaries (LOLBins) sont des binaires système légitimes et signés numériquement que les attaquants exploitent fréquemment en raison de la confiance implicite que leur accorde le système.

• WMIC (Windows Management Instrumentation Command-line) : Cette interface en ligne de commande permet l’exécution de commandes à distance et des requêtes système facilitant la reconnaissance réseau et les déplacements latéraux. Les commandes WMIC semblent souvent indiscernables des activités légitimes de surveillance système.
• Signed binaries : Les attaquants exploitent des binaires système signés numériquement pour contourner les listes blanches d’applications et exécuter du code malveillant avec des identifiants de confiance. Ces utilitaires signés bénéficient d’une confiance système inhérente que les solutions de sécurité remettent rarement en question.

Scénarios à double usage

Certains outils remplissent à la fois des fonctions professionnelles légitimes et des usages malveillants, ce qui rend leur détection particulièrement difficile. Par exemple, avec les commandes FTP et les clients FTP, des utilitaires de transfert de fichiers légitimes sont détournés pour exfiltrer des données sensibles ou télécharger d’autres outils d’attaque. Ces opérations de transfert de fichiers se confondent avec les échanges de données professionnels classiques.

Les attaques LOTL réussissent parce qu’elles éliminent le besoin d’introduire des malwares externes que les systèmes de sécurité traditionnels sont conçus pour détecter. Ces attaques exécutent du code malveillant directement en mémoire en utilisant des langages de script, contournant ainsi les antivirus qui analysent principalement les fichiers présents sur le disque. En l’absence de fichiers malveillants à détecter ou de signatures connues à reconnaître, les outils de sécurité classiques peinent à identifier des menaces opérant entièrement au sein de processus système légitimes.

L’efficacité des attaques LOTL provient de leur capacité à se fondre parfaitement dans les opérations normales de l’entreprise. Les attaquants exploitent les mêmes utilitaires de confiance que ceux utilisés quotidiennement par les administrateurs système, ce qui donne à leurs activités l’apparence de tâches administratives routinières. Les systèmes de sécurité négligent souvent ces outils car ils figurent sur des listes d’autorisation et bénéficient d’une confiance système implicite, offrant ainsi une couverture idéale pour des activités malveillantes qui, autrement, déclencheraient des alertes de sécurité.

Des groupes de menaces avancés ont démontré le potentiel dévastateur des techniques LOTL lors de campagnes très médiatisées comme SolarWinds et dans des opérations de ransomware modernes. Ces attaques permettent des durées de présence extrêmement longues, les attaquants restant indétectés pendant des semaines, des mois, voire des années, tout en escaladant les privilèges, en volant des données et en installant des portes dérobées pour un accès futur.

Les attaques Living off the Land suivent une progression méthodique conçue pour maximiser la discrétion tout en atteignant des objectifs malveillants. Les attaquants avancent à travers différentes phases, en s’appuyant sur des outils système légitimes à chaque étape pour éviter la détection.

• Accès initial : Les attaquants pénètrent dans le système via des vecteurs d’attaque courants comme les emails de phishing, l’exploitation de vulnérabilités connues ou des identifiants compromis. Ce premier point d’accès apparaît souvent comme une activité utilisateur légitime puisque les attaquants utilisent des identifiants volés ou exploitent des points d’accès système authentiques. L’objectif est d’établir une tête de pont dans l’environnement cible sans déclencher d’alerte de sécurité.
• Exécution : Une fois à l’intérieur, les attaquants utilisent des utilitaires système natifs comme PowerShell, WMI ou les consoles de commande pour exécuter des instructions. Ces outils de confiance exécutent des scripts malveillants directement en mémoire, évitant ainsi l’écriture de fichiers sur le disque. Les attaquants peuvent télécharger et exécuter des scripts malveillants via PowerShell, contournant ainsi les mécanismes de détection traditionnels basés sur le disque.
• Persistance : Au lieu d’installer des malwares classiques, les attaquants utilisent des tâches planifiées, des modifications du registre ou des abonnements à des événements WMI pour maintenir un accès à long terme. Ils peuvent effacer les journaux système à l’aide d’outils comme « wevtutil » et mettre en place des portes dérobées discrètes pour une exploitation ultérieure. Ces mécanismes de persistance se fondent dans les opérations système normales et survivent aux redémarrages.
• Découverte et mouvements latéraux : Les attaquants utilisent des outils d’administration légitimes, comme PsExec, WMI et des utilitaires de gestion à distance, pour se déplacer dans le réseau tout en se faisant passer pour des administrateurs IT. Ils s’appuient sur ces systèmes de confiance pour escalader leurs privilèges et accéder à des serveurs sensibles sans déclencher d’alerte. La reconnaissance réseau est réalisée à l’aide d’outils système intégrés que les administrateurs utilisent quotidiennement.
• Exfiltration de données : Des utilitaires intégrés comme CertUtil, BITSAdmin ou les commandes FTP peuvent être utilisés pour extraire des données sensibles tout en échappant aux systèmes de détection réseau. Ces transferts de fichiers se confondent avec les échanges de données professionnels habituels. Les attaquants peuvent voler des fichiers critiques et exporter des métadonnées via des commandes qui ressemblent à des opérations légitimes de gestion de certificats ou de transfert de fichiers.

Les outils de sécurité traditionnels basés sur les signatures peinent à contrer les attaques LOTL, car ces menaces opèrent entièrement dans les limites légitimes du système. Les organisations doivent évoluer vers une détection comportementale et des stratégies de chasse proactive qui identifient l’intention malveillante plutôt que de se concentrer uniquement sur les fichiers malveillants.

• Utiliser les indicateurs d’attaque (IOA) : Surveillez les séquences de comportements et les schémas d’attaque plutôt que de vous fier uniquement aux indicateurs de compromission statiques que les attaques LOTL évitent volontairement. Les IOA se concentrent sur la détection de la progression tactique d’une attaque, comme des séquences de commandes inhabituelles ou des modèles d’escalade de privilèges révélant une intention malveillante.
• Chasse aux menaces gérée : Déployez des services de chasse proactive qui recherchent activement des signes de compromission dans les réseaux avant le déclenchement d’alertes automatisées. Les chasseurs de menaces utilisent des analyses avancées pour identifier des schémas d’attaque subtils susceptibles d’échapper aux outils de détection automatisés, avec une attention particulière sur l’utilisation anormale des utilitaires d’administration légitimes.
• Détection et réponse des terminaux (EDR) : Mettez en œuvre des solutions EDR qui se concentrent sur les relations entre processus parent/enfant et sur les anomalies comportementales, plutôt que sur la détection traditionnelle basée sur les fichiers. Les outils EDR utilisent l’apprentissage automatique et l’analyse heuristique pour identifier les attaques sans fichier et les abus d’identifiants en surveillant l’exécution des processus en temps réel et les paramètres de ligne de commande.
• Contrôle des applications et réduction des privilèges : Limitez l’utilisation des outils d’administration aux rôles métier essentiels via des listes d’autorisation (« allowlisting ») et une gestion stricte des privilèges. Déployez des solutions robustes de gestion des accès privilégiés avec des contrôles d’accès « just-in-time » qui restreignent les permissions élevées aux seuls besoins spécifiques et à des périodes limitées.
• Journalisation et corrélation SIEM : Configurez des systèmes centralisés de journalisation afin de signaler les exécutions inhabituelles de PowerShell, les activités regsvr32 et les chaînes de commandes CertUtil qui s’écartent des modèles administratifs normaux. Les règles de corrélation SIEM permettent d’identifier des séquences suspectes d’utilisation légitime d’outils qui, prises ensemble, indiquent une activité malveillante.
• Détection d’anomalies avec le ML : Exploitez des algorithmes d’apprentissage automatique qui utilisent le traitement du langage naturel pour analyser les modèles de commandes et détecter une syntaxe malveillante dissimulée dans l’utilisation d’outils légitimes. Ces systèmes peuvent identifier des écarts subtils dans la manière dont les utilitaires de confiance sont employés par rapport aux activités administratives normales.
• Établir un comportement de référence normal : Mettez en place des bases comportementales complètes définissant les profils d’usage normal des comptes administratifs, incluant les outils, commandes, plages horaires et interactions avec les appareils. Les organisations doivent comprendre leur « schéma de vie » pour chaque appareil et utilisateur afin d’identifier efficacement le moment où des outils légitimes sont détournés à des fins malveillantes.

La prévalence et l’impact des attaques LOTL continuent de s’intensifier dans tous les secteurs, avec des données récentes révélant des tendances alarmantes qui soulignent l’urgence de renforcer les capacités de détection. Ces statistiques et incidents réels démontrent comment les attaquants s’appuient de plus en plus sur des outils légitimes pour obtenir des résultats dévastateurs.

La campagne LOTL de NotPetya à 10 milliards de dollars

L’attaque NotPetya de 2017 a causé plus de 10 milliards de dollars de dommages mondiaux en exploitant Mimikatz pour voler des identifiants et PsExec pour exécuter des commandes à distance sur les réseaux. Des entreprises comme Merck et Maersk ont subi d’importantes perturbations opérationnelles car l’attaque utilisait des outils Windows légitimes auxquels les systèmes de sécurité faisaient confiance. Cet incident a mis en évidence la manière dont les techniques LOTL peuvent amplifier de façon exponentielle l’impact d’un ransomware.

Constats de CrowdStrike sur les attaques sans malware

Le rapport Global Threat Report 2025 de CrowdStrike a révélé que 62 % de leurs détections concernaient des attaques sans malware utilisant des méthodes LOTL. Leur équipe OverWatch a notamment identifié un usage abusif généralisé des LOLBins, dont rundll32, mshta et CertUtil, dans plusieurs campagnes d’attaque. Ces constats montrent que les attaquants privilégient de plus en plus les utilitaires système légitimes plutôt que les malwares traditionnels pour échapper à la détection.

La campagne d’infrastructure de Volt Typhoon

La campagne chinoise parrainée par l’État, Volt Typhoon, a ciblé en 2023 les infrastructures critiques américaines en utilisant exclusivement des outils Windows légitimes, des utilitaires d’administration à distance et des certificats auto-signés. Cette opération a démontré comment des acteurs étatiques peuvent maintenir un accès persistant pendant des mois sans déployer le moindre malware traditionnel. L’opération a réussi parce qu’elle fonctionnait entièrement dans les limites des systèmes de confiance, rarement examinés par les outils de sécurité.

Les attaques Living Off the Land représentent un changement fondamental dans la manière dont les cybercriminels opèrent, en exploitant les outils mêmes dont les organisations dépendent pour mener des activités malveillantes sans être détectées. Ces menaces sophistiquées démontrent pourquoi les approches traditionnelles de sécurité basées sur les signatures sont insuffisantes face à des adversaires modernes qui ont appris à transformer en armes les utilitaires système légitimes.

Proofpoint comprend que la protection contre les attaques LOTL exige une approche globale combinant analyse comportementale, renseignement sur les menaces et capacités de chasse proactive. Les solutions de cybersécurité d’entreprise de la société aident les organisations à détecter et à répondre à ces menaces furtives en se concentrant sur le comportement des utilisateurs, la sécurité des emails et la protection avancée contre les menaces, plutôt que de s’appuyer uniquement sur la détection traditionnelle des malwares.

À mesure que les cybercriminels continuent de faire évoluer leurs tactiques et d’exploiter des outils légitimes à des fins malveillantes, les organisations ont besoin de partenaires de sécurité capables d’adapter leurs défenses pour relever directement ces défis sophistiqués. Contactez Proofpoint pour en savoir plus.

Ces questions fréquemment posées répondent aux idées reçues et préoccupations courantes concernant les attaques Living Off the Land.

Qu’est-ce qui distingue le LOTL d’un malware classique ?

Les attaques LOTL utilisent des outils système légitimes intégrés déjà présents sur les systèmes cibles, tandis que les malwares traditionnels introduisent des exécutables externes malveillants que les systèmes de sécurité peuvent plus facilement identifier. Un malware classique crée généralement de nouveaux fichiers et entrées de registre avec des schémas suspects, alors que les attaques LOTL laissent des traces minimales sur le disque et apparaissent comme une activité système normale.

Toutes les attaques LOTL sont-elles sans fichier ?

De nombreuses attaques LOTL fonctionnent comme des malwares sans fichier, s’exécutant entièrement en mémoire sans écrire de fichiers sur le disque, mais toutes ne sont pas complètement sans fichier. Certaines peuvent utiliser des modifications du registre, des tâches planifiées ou des abonnements à des événements WMI pour établir une persistance, ce qui peut laisser des traces sur le système. La distinction clé est que même lorsqu’elles créent des artefacts, elles utilisent des mécanismes système légitimes plutôt que de déployer des fichiers malveillants traditionnels.

Un antivirus peut-il arrêter efficacement le LOTL ?

Les solutions antivirus traditionnelles basées sur la détection par signatures peinent considérablement à contrer les attaques LOTL, car ces menaces utilisent des outils système de confiance rarement analysés par les solutions de sécurité. Les antivirus hérités, l’allowlisting d’applications, le sandboxing et même certaines méthodes d’analyse basées sur le machine learning échouent à détecter efficacement les techniques LOTL sans fichier. Les organisations ont besoin de surveillance comportementale, de détection et réponse sur les terminaux (EDR) et d’indicateurs d’attaque, plutôt que de compter uniquement sur l’antivirus traditionnel.

Quels outils sont les plus risqués ?

PowerShell représente l’un des outils les plus à risque car il offre un accès étendu au système et peut exécuter des opérations complexes tout en apparaissant comme une activité administrative légitime. Windows Management Instrumentation, PsExec, CertUtil et le Planificateur de tâches sont également fréquemment exploités par les attaquants pour l’exécution de commandes à distance, le téléchargement de fichiers et l’établissement de la persistance. Des outils de manipulation du registre comme Regsvr32 et Rundll32 posent aussi des risques importants car ils peuvent exécuter des scripts malveillants tout en conservant l’apparence de processus système légitimes.

Quels signaux de surveillance indiquent une activité LOTL ?

Des schémas inhabituels dans l’utilisation des outils légitimes, tels que PowerShell exécutant des commandes encodées ou accédant à des zones sensibles du système, indiquent souvent une activité LOTL potentielle. Les organisations devraient surveiller les arguments suspects en ligne de commande, les relations de processus inattendues et l’utilisation d’outils légitimes en dehors des heures ouvrées ou par des utilisateurs non autorisés. Les anomalies comportementales, comme des requêtes d’accès à des bases de données depuis des postes de travail utilisateurs ou des requêtes SMB entre sites géographiques, peuvent révéler des techniques LOTL en cours.