LOLBin / LOLBAS.

正規の管理ツールを装いつつ、実行・ダウンロード・永続化・回避に悪用される署名済みの標準バイナリ/スクリプト(LOLBin/LOLBAS)。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

正規の管理ツールを装いつつ、実行・ダウンロード・永続化・回避に悪用される署名済みの標準バイナリ/スクリプト(LOLBin/LOLBAS)。

LOLBin(Living-Off-the-Land Binary)および、より広範な LOLBAS(Living-Off-the-Land Binaries And Scripts)プロジェクトは、攻撃に有用な副作用(任意コード実行、リモートペイロードのダウンロード、アプリ制御の回避など)を持つ Microsoft 署名済みのバイナリ、スクリプト、ライブラリを整理したカタログです。代表例には rundll32.exe、regsvr32.exe、mshta.exe、msbuild.exe、installutil.exe、certutil.exe などがあります。各ツールは署名され信頼されているため、ハッシュベースのブロックは効果が薄く、防御側は「正常」と「異常」のコマンドラインを区別する必要があります。LOLBAS は MITRE ATT&CK の実行・防御回避の多数のテクニックの基盤となっています。対策には、アプリケーションのアロウリスト、ScriptBlock とプロセス生成のロギング、ASR ルール、EDR のふるまい分析があります。

LOLBin / LOLBAS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: LOLBAS, Living-off-the-Land バイナリ。