Veel organisaties zijn kwetsbaar voor aanvallen waarbij gebruik wordt gemaakt van 'living of the land' (LOTL) technieken, zo stellen de cyberagentschappen van Australië, Canada, Nieuw-Zeeland, Verenigd Koninkrijk en Verenigde Staten. De vijf landen, die ook wel de Five Eyes worden genoemd, roepen in een nieuw adviesdocument de vitale infrastructuur op om zich te wapenen tegen LOTL-aanvallen (pdf).

Bij living of the land-aanvallen maken aanvallers misbruik van bestanden, programma's en tools die al op gecompromitteerde systemen aanwezig zijn. Dit heeft volgens de Five Eyes-landen verschillende voordelen voor aanvallers, omdat veel organisaties niet in staat zijn om legitiem van malafide gedrag te onderscheiden. Ook ontbreken indicators of compromise (IOC's) voor het detecteren van misbruik en zorgt LOTL ervoor dat aanvallers geen eigen tooling hoeven te ontwikkelen.

Zelfs voor organisaties die bekend zijn met LOTL en hier best practices voor hebben kan het nog steeds lastig zijn om legitiem van malafide gedrag te onderscheiden, aldus de Five Eyes-landen. Die roepen met name de vitale infrastructuur op om een lijst met best practices te volgen voor het detecteren en vinden van LOTL-activiteiten. Het gaat dan om zaken als logging, het opstellen van een baseline en het monitoren van bestanden en tooling die vaak bij living of the land worden gebruikt, ook wel LOLBins genoemd.

In het document geven de agentschappen een overzicht van de meestgebruikte LOLBins in Linux-, macOS- en Windows-omgevingen. Het gaat dan bijvoorbeeld om cmd.exe, powershell.exe, wmic.exe, ipconfig.exe, sExec.exe, netstat.exe, whoami.exe, sh, sudo, bash, vim, vi, id, curl, tar, ifconfig en ip, alsmede RDP, VNC, Secure Shell (SSH) en Secure Copy (SCP).