LOLBin / LOLBAS.

Binaire ou script natif et signe (LOLBin/LOLBAS) detourne par les attaquants pour executer du code, telecharger un payload, persister ou contourner des controles sous l'apparence d'un outil d'administration legitime. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Binaire ou script natif et signe (LOLBin/LOLBAS) detourne par les attaquants pour executer du code, telecharger un payload, persister ou contourner des controles sous l'apparence d'un outil d'administration legitime.

Le LOLBin (Living-Off-the-Land Binary) et le projet plus large LOLBAS (Living-Off-the-Land Binaries And Scripts) repertorient les binaires, scripts et bibliotheques signes par Microsoft dont des effets secondaires sont exploitables a des fins offensives: executer du code arbitraire, telecharger des payloads, contourner le controle d'applications. Les exemples courants incluent rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe et certutil.exe. Comme chaque outil est signe et de confiance, les defenseurs ne peuvent pas se contenter de bloquer par hash et doivent distinguer les lignes de commande attendues des anormales. Les LOLBAS supportent de nombreuses techniques d'execution et d'evasion du MITRE ATT&CK. Les mitigations reposent sur l'application control en allow-listing, les logs de ScriptBlock et de creation de processus, les regles ASR et l'analytique comportementale EDR.

Les défenses contre LOLBin / LOLBAS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : LOLBAS, Binaire Living-off-the-Land.