LOLBin 是“Living Off the Land Binaries”的缩写,是网络安全中使用的一个术语,指 Windows 操作系统上存在的合法可执行文件、工具或脚本,这些文件可能被威胁行为者滥用来执行恶意活动。这些二进制文件是系统本机的,通常被网络犯罪分子用来绕过传统的安全措施。通过利用这些预安装的二进制文件,攻击者可以避免检测,并使安全工具难以区分合法活动和恶意活动。
LOLBin的起源历史和首次提及
LOLBins 的概念在 2014 年左右在网络安全社区中得到了重视,当时安全研究人员开始观察到无文件攻击和利用合法系统实用程序进行恶意目的的技术有所增加。首次提及 LOLBins 是在 Casey Smith 于 2014 年发表的一篇题为“Living off the Land and EvadingDetection – A Survey of Common Practices”的研究论文中。这篇论文揭示了攻击者如何利用内置的 Windows 二进制文件来隐藏他们的活动和行为。逃避检测。
有关 LOLBin 的详细信息:扩展主题 LOLBin
LOLBins 代表了网络对手在雷达下飞行的巧妙策略。这些预安装的二进制文件为攻击者提供了广泛的武器库来执行各种命令、与系统交互以及执行侦察,而无需在受害者的计算机上放置其他恶意文件。它们通常用于无文件攻击,其中攻击仅发生在内存中,在硬盘驱动器上几乎不留下任何痕迹。
LOLBins 的使用通常与其他技术结合使用,例如陆上战术、PowerShell 脚本编写和 WMI(Windows 管理规范),以最大限度地提高其效率。 LOLBins 在后利用场景中特别有效,因为它们使攻击者能够融入合法的系统活动,从而使安全分析师难以区分正常行为和恶意行为。
LOLBin 的内部结构:LOLBin 的工作原理
LOLBins 是预装在操作系统上的本机 Windows 二进制文件。它们具有合法的功能,旨在协助执行各种管理任务、系统维护和故障排除。攻击者在不引起怀疑的情况下操纵这些二进制文件来实现恶意目标。 LOLBin 的内部结构与任何常规系统二进制文件的内部结构相同,使其能够在安全解决方案不被发现的情况下运行。
该过程通常涉及使用命令行参数来调用特定功能、执行 PowerShell 命令或访问敏感系统资源。攻击者可以利用 LOLBins 执行代码、创建或修改文件、查询系统注册表、通过网络进行通信以及执行实现其目标所需的其他活动。
LOLBin关键特性分析
LOLBins 提供了几个对威胁行为者有吸引力的关键功能:
-
合法出现:LOLBins 具有有效的数字签名,并且通常由 Microsoft 签名,这使得它们看起来值得信赖并绕过安全检查。
-
隐形:由于它们是本机系统二进制文件,LOLBins 可以执行恶意代码,而不会引发危险信号或触发安全解决方案的警报。
-
无需删除恶意软件:LOLBins 不需要攻击者在受害者的系统上放置额外的文件,从而减少了被发现的机会。
-
滥用可信工具:攻击者利用已列入白名单且被认为安全的工具,这使得安全工具难以区分合法使用和恶意使用。
-
无文件执行:LOLBins 支持无文件攻击,减少数字足迹并增加取证调查的复杂性。
LOLBin 的类型
| LOLBin类型 | 描述 |
|---|---|
| PowerShell 脚本 | 利用 Windows 中强大的脚本语言 PowerShell 来执行恶意活动。 |
| Windows 管理规范 (WMI) | 利用 WMI 在目标系统上远程执行脚本和命令。 |
| Windows 命令提示符 (cmd.exe) | 利用本机 Windows 命令行解释器来执行命令和脚本。 |
| Windows 脚本宿主(wscript.exe、cscript.exe) | 执行用 VBScript 或 JScript 编写的脚本。 |
LOLBin 的使用方法
-
权限提升:LOLBins 可用于提升受感染系统的权限,从而获得对敏感信息和资源的访问权限。
-
信息收集:威胁参与者利用 LOLBins 收集有关目标系统的信息,包括安装的软件、网络配置和用户帐户。
-
横向运动:攻击者利用 LOLBins 在网络内横向移动,从一个系统跳到另一个系统,同时保持隐秘。
-
坚持:LOLBins 使攻击者能够在受感染的系统上建立持久性,确保他们可以长时间保持访问。
LOLBins 的使用给网络安全专业人员带来了重大挑战。其中一些问题包括:
-
检测:传统的基于签名的安全工具可能难以检测 LOLBins,因为它们的合法性和缺乏已知的恶意软件模式。
-
能见度:由于 LOLBins 在合法的系统进程中运行,因此它们通常会逃避基于行为分析的检测。
-
白名单:攻击者可以滥用白名单机制,允许已知的二进制文件不受限制地运行。
-
减轻:完全禁用或阻止 LOLBins 是不可行的,因为它们服务于基本的系统功能。
为了应对这些挑战,组织需要采用多层安全方法,包括:
- 行为分析:采用基于行为的检测方法来识别异常活动,即使在合法的二进制文件中也是如此。
- 异常检测:利用异常检测来发现与正常系统行为的偏差。
- 端点保护:投资先进的端点保护工具,可以检测无文件攻击和基于内存的攻击。
- 用户教育:教育用户有关网络钓鱼和社会工程的风险,它们是传播基于 LOLBin 的攻击的常见媒介。
主要特点及与同类术语的其他比较
| 学期 | 描述 |
|---|---|
| 洛宾斯 | 合法的系统二进制文件被用于恶意目的。 |
| 无文件攻击 | 攻击不依赖于将文件删除到目标系统上,仅在内存中运行。 |
| PowerShell帝国 | 一个利用 PowerShell 进行攻击操作的后利用框架。 |
| 靠土地谋生的策略 | 利用内置工具进行恶意活动。 |
随着技术的发展,攻击者和防御者使用的技术也会不断发展。 LOLBins 的未来及其对策可能涉及:
-
人工智能驱动的检测:人工智能驱动的安全解决方案将通过分析大量数据并识别表明恶意行为的模式来改进基于 LOLBin 的攻击的检测和预防。
-
行为分析增强功能:基于行为的检测机制将变得更加复杂,可以更好地区分合法活动和恶意活动。
-
零信任架构:组织可以采用零信任原则,在允许执行之前验证每个操作,减少 LOLBins 的影响。
-
硬件安全:基于硬件的安全功能可以通过实施更强大的隔离和完整性检查来帮助阻止 LOLBin 攻击。
如何使用代理服务器或如何将代理服务器与 LOLBin 关联
代理服务器在防御基于 LOLBin 的攻击方面发挥着至关重要的作用。它们可以通过以下方式使用:
-
交通巡检:代理服务器可以检查网络流量是否存在可疑模式,包括通常与 LOLBins 相关的通信。
-
恶意内容过滤:代理可以阻止对 LOLBin 运营商使用的已知恶意域和 IP 地址的访问。
-
SSL/TLS 解密:代理可以解密和检查加密流量,以检测和阻止通过 LOLBins 传递的恶意负载。
-
匿名检测:代理可以识别并阻止使用匿名技术隐藏 LOLBin 流量的尝试。
相关链接
有关 LOLBins 和网络安全最佳实践的更多信息,您可以参考以下资源:
- 靠土地为生并逃避检测——常见做法调查 – Casey Smith 的研究论文,2014 年。
- MITRE ATT&CK – LOLBins – MITRE ATT&CK 框架中 LOLBins 的信息。
- 防御 LOLBAS – 关于防御“靠地生活”二进制文件和脚本的白皮书。
LOLBins 在不断发展的网络安全领域提出了重大挑战。了解他们的技术并采用主动防御策略对于保护系统和数据免受这些潜在威胁至关重要。
