A kiberbiztonság egyik legnehezebben detektálható fenyegetéstípusa ma már egyértelműen a Living-off-the-Land (LOTL) támadás. Ezek a módszerek nem új kártékony szoftvereket vagy fájlokat hoznak a rendszerbe, hanem a meglévő, olyan legitim, rendszerbe épített eszközöket fordítanak a rendszer ellen, mint például a PowerShell, WMIC vagy a cmd.exe. Ezek segítségével hajtanak végre kódot, terjednek a hálózaton, és maradnak észrevétlenek. A támadók ezzel jelentős előnyhöz jutnak: tevékenységük rejtve marad a legtöbb hagyományos védelmi megoldás előtt, mivel az általuk használt komponensek aláírtak, ismertek, és napi szinten használtak a rendszergazdai feladatok során.
A LOTL támadások egyre inkább eltolják a hangsúlyt a fájlalapú fertőzésektől a memóriában történő, úgynevezett „fileless” végrehajtás felé. Ennek során a támadók scripteket futtatnak, amelyek letöltik vagy generálják a támadó kódot futásidőben, kizárólag a memóriában tartva azt. Ez a megközelítés minimális nyomot hagy hátra, jelentősen megnehezítve az utólagos forensic elemzést is.
A leggyakrabban használt eszközök közé tartozik a PowerShell, amely mély hozzáférést biztosít a Windows belső folyamataihoz, a WMIC a távoli parancsok és lekérdezések végrehajtásához, valamint a klasszikus cmd.exe, amely gyakran indítóként szolgál más folyamatok számára. Egyes támadások során a LOTL technikákat hitelesítő adatok megszerzésére is alkalmazzák. Bár az olyan eszközök, mint a Mimikatz nem részei a Windowsnak, gyakran PowerShell vagy WMIC segítségével kerülnek memóriába, majd ott végzik el a hitelestő adatok begyűjtését. A megszerzett jogosultságok birtokában a támadók rendszerszintű hozzáférést szereznek, majd az operációs rendszer saját eszközeivel mozognak oldalirányban, így fenntartva a jelenlétüket.
Egy ismert esetben egy ellátási láncot úgy kompromittáltak, hogy egy megbízható frissítési mechanizmuson keresztül juttatták célba a kártékony kódot. Az így telepített backdoor szinte kizárólag natív Windows alkalmazásokkal dolgozott, így hónapokig észrevétlen maradt. Hasonló technikákat alkalmaznak a modern ransomware csoportok is: PowerShell és WMIC segítségével kikapcsolják a védelmet, feltérképezik a hálózatot, majd PsExec segítségével terjesztik a zsarolóprogramot.
A LOTL típusú támadásokkal szembeni védekezés nem alapulhat pusztán fájlelemzésen vagy víruskeresőkön. Ehelyett viselkedésalapú észlelésre, például EDR (Endpoint Detection and Response) megoldásokra van szükség, amelyek képesek a tipikus parancssori tevékenység vagy szokatlan PowerShell műveletek felismerésére. Emellett kulcsfontosságú a legkisebb jogosultság elve, a részletes naplózás (pl. Sysmon), valamint a scriptfuttatások és binárisok kontrollálása. És nem utolsósorban: a felhasználók rendszeres oktatása a látszólag „rendes” adminisztráció mögé bújó támadások felismerésére.