Living-off-the-Land (LotL) Nedir? Güvenilir Araçlarla Veri Hırsızlığı

Siber güvenlikte en zor tespit edilen saldırılar, sistemin kendi silahlarını ona karşı kullanan saldırılardır. Living-off-the-Land (LotL) / Sistem Araçlarıyla Sızma, saldırganın sisteme yabancı bir yazılım yüklemek yerine, Windows veya Linux içerisinde bulunan meşru yönetim araçlarını suistimal etmesidir. Bir Infostealer için bu yöntem, güvenlik yazılımlarının radarına girmeden veri çalmanın en etkili yoludur.

LotL Teknikleri ve Infostealer İlişkisi

Saldırganlar, sistemin "doğasında" bulunan şu araçları birer casusluk aracına dönüştürür:

1. PowerShell: Karmaşık betikler (script) çalıştırarak şifrelerin saklandığı bellek alanlarına erişmek için kullanılır.
2. WMI (Windows Management Instrumentation): Sistem bilgilerini toplamak ve ağ üzerinde yatayda ilerlemek için suistimal edilir.
3. Certutil: Normalde sertifika yönetimi için kullanılan bu araç, dışarıdan gizlice zararlı kod parçacıkları indirmek için kullanılabilir.

Neden Bu Kadar Tehlikelidir?

LotL saldırılarında "kötü bir dosya" olmadığı için antivirüsler herhangi bir alarm üretmez; çünkü çalışan araç sistemin kendi parçasıdır. Bu durum, siber savunmada "dosya odaklı" korumadan "davranış odaklı" korumaya geçilmesini zorunlu kılmıştır. Dark Radar ve benzeri gelişmiş sistemler, PowerShell gibi araçların normal dışı komutlar yürütmesini takip ederek bu sinsi sızıntıları yakalar.

Zafiyet Analizinde LotL Tespiti

Zafiyet analizi süreçlerinde, idari araçların kullanım yetkileri (Privilege Management) incelenmelidir. Eğer bir ofis çalışanının bilgisayarında PowerShell üzerinden ağ taraması yapılıyorsa, bu durum LotL tekniğiyle çalışan bir Infostealer'ın kesin işaretidir.

Özetle; Living-off-the-Land, saldırganın sistemde "ev sahibi" gibi davranmasını sağlar. Bu görünmez tehdidi durdurmak için meşru araçların her hareketini titizlikle izlemek gerekir.