LOLBin, сокращение от «Living Off the Land Binaries», — это термин, используемый в кибербезопасности для обозначения законных исполняемых файлов, инструментов или сценариев, присутствующих в операционной системе Windows, которые могут быть использованы злоумышленниками для осуществления вредоносных действий. Эти двоичные файлы являются встроенными в систему и обычно используются киберпреступниками для обхода традиционных мер безопасности. Используя эти предустановленные двоичные файлы, злоумышленники могут избежать обнаружения и усложнить средствам безопасности различение законных и вредоносных действий.
История происхождения LOLBin и первые упоминания о нем
Концепция LOLBins приобрела известность в сообществе кибербезопасности примерно в 2014 году, когда исследователи безопасности начали наблюдать рост количества безфайловых атак и методов, использующих законные системные утилиты в злонамеренных целях. Первое упоминание о LOLBins было в исследовательской статье Кейси Смита под названием «Жизнь за счет земли и уклонение от обнаружения – обзор общих практик» в 2014 году. Эта статья пролила свет на то, как злоумышленники использовали встроенные двоичные файлы Windows для сокрытия своей деятельности и уклоняться от обнаружения.
Подробная информация о LOLBin: Расширяем тему LOLBin
LOLBins представляют собой умную стратегию, используемую кибер-злоумышленниками, чтобы оставаться незамеченными. Эти предустановленные двоичные файлы предоставляют злоумышленникам обширный арсенал для выполнения различных команд, взаимодействия с системой и проведения разведки без необходимости загружать дополнительные вредоносные файлы на компьютер жертвы. Они обычно используются в бесфайловых атаках, когда атака происходит исключительно в памяти, практически не оставляя следов на жестком диске.
Использование LOLBins часто сочетается с другими методами, такими как тактика жизни за счет земли, сценарии PowerShell и WMI (инструментарий управления Windows), чтобы максимизировать их эффективность. LOLBin особенно эффективны в сценариях после эксплуатации, поскольку они позволяют злоумышленникам сливаться с законной системной активностью, что затрудняет аналитикам безопасности различие между нормальным и вредоносным поведением.
Внутренняя структура LOLBin: как работает LOLBin
LOLBins — это собственные двоичные файлы Windows, которые предварительно установлены в операционной системе. Они обладают законными функциями и предназначены для помощи в выполнении различных административных задач, обслуживании системы и устранении неполадок. Злоумышленники манипулируют этими двоичными файлами для достижения вредоносных целей, не вызывая подозрений. Внутренняя структура LOLBin такая же, как и у любого обычного системного двоичного файла, что позволяет ему работать незаметно для решений безопасности.
Обычно этот процесс включает использование аргументов командной строки для вызова определенных функций, выполнения команд PowerShell или доступа к конфиденциальным системным ресурсам. Злоумышленники могут использовать LOLBins для выполнения кода, создания или изменения файлов, запроса системного реестра, общения по сети и выполнения других действий, необходимых для достижения своих целей.
Анализ ключевых особенностей LOLBin
LOLBins предлагают несколько ключевых функций, которые делают их привлекательными для злоумышленников:
-
Законный внешний вид: LOLBins имеют действительные цифровые подписи и обычно подписываются Microsoft, что делает их надежными и позволяет обходить проверки безопасности.
-
Невидимость: Поскольку LOLBins являются собственными системными двоичными файлами, они могут выполнять вредоносный код, не вызывая тревожных сигналов или предупреждений от решений безопасности.
-
Нет необходимости удалять вредоносное ПО: LOLBins не требуют от злоумышленников загружать дополнительные файлы в систему жертвы, что снижает вероятность обнаружения.
-
Злоупотребление надежными инструментами: Злоумышленники используют инструменты, которые уже занесены в белый список и считаются безопасными, что затрудняет различение законного и злонамеренного использования средствами безопасности.
-
Бесфайловое выполнение: LOLBins позволяют проводить бесфайловые атаки, уменьшая цифровой след и усложняя судебно-медицинские расследования.
Виды LOLBin
| Тип LOLBin | Описание |
|---|---|
| Скрипты PowerShell | Использует PowerShell, мощный язык сценариев Windows, для выполнения вредоносных действий. |
| Инструментарий управления Windows (WMI) | Использует WMI для удаленного выполнения сценариев и команд в целевых системах. |
| Командная строка Windows (cmd.exe) | Использует собственный интерпретатор командной строки Windows для выполнения команд и сценариев. |
| Хост сценариев Windows (wscript.exe, cscript.exe) | Выполняет сценарии, написанные на VBScript или JScript. |
Способы использования LOLBin
-
Повышение привилегий: LOLBins можно использовать для повышения привилегий в скомпрометированных системах, получая доступ к конфиденциальной информации и ресурсам.
-
Сбор информации: Злоумышленники используют LOLBins для сбора информации о целевой системе, включая установленное программное обеспечение, конфигурацию сети и учетные записи пользователей.
-
Боковое движение: Злоумышленники используют LOLBins для горизонтального перемещения внутри сети, перескакивая из одной системы в другую, оставаясь при этом скрытными.
-
Упорство: LOLBins позволяют злоумышленникам обеспечить постоянство скомпрометированной системы, гарантируя, что они смогут поддерживать доступ в течение длительного периода.
Использование LOLBins создает серьезные проблемы для специалистов по кибербезопасности. Некоторые из проблем включают в себя:
-
Обнаружение: Традиционные средства безопасности на основе сигнатур могут с трудом обнаружить LOLBins из-за их законной природы и отсутствия известных шаблонов вредоносного ПО.
-
Видимость: поскольку LOLBins работают внутри законных системных процессов, они часто избегают обнаружения на основе поведенческого анализа.
-
Белый список: Злоумышленники могут злоупотреблять механизмами белых списков, которые позволяют запускать известные двоичные файлы без ограничений.
-
смягчение последствий: Полностью отключить или заблокировать LOLBins невозможно, поскольку они выполняют важные системные функции.
Чтобы решить эти проблемы, организациям необходимо принять многоуровневый подход к безопасности, который включает в себя:
- Поведенческий анализ: использовать методы обнаружения на основе поведения для выявления аномальных действий даже в законных двоичных файлах.
- Обнаружение аномалий: Используйте обнаружение аномалий для выявления отклонений от нормального поведения системы.
- Защита конечных точек: инвестируйте в передовые инструменты защиты конечных точек, которые могут обнаруживать бесфайловые атаки и эксплойты, основанные на использовании памяти.
- Обучение пользователей: Информируйте пользователей о рисках фишинга и социальной инженерии, которые являются распространенными векторами атак на основе LOLBin.
Основные характеристики и другие сравнения с аналогичными терминами
| Срок | Описание |
|---|---|
| LOLBins | Законные системные двоичные файлы, используемые в злонамеренных целях. |
| Бесфайловые атаки | Атаки, которые не основаны на удалении файлов в целевой системе и действуют исключительно в памяти. |
| Империя PowerShell | Платформа пост-эксплуатации, использующая PowerShell для наступательных операций. |
| Тактика жизни за счет земли | Использование встроенных инструментов для вредоносных действий. |
По мере развития технологий будут развиваться и методы, используемые как злоумышленниками, так и защитниками. Будущее LOLBins и их контрмер, скорее всего, будет включать в себя:
-
Обнаружение на основе искусственного интеллекта: Решения безопасности на базе искусственного интеллекта улучшат обнаружение и предотвращение атак на основе LOLBin за счет анализа огромных объемов данных и выявления закономерностей, указывающих на вредоносное поведение.
-
Улучшения поведенческого анализа: Механизмы обнаружения, основанные на поведении, станут более сложными и позволят лучше различать законные и вредоносные действия.
-
Архитектура нулевого доверия: Организации могут применять принципы нулевого доверия, проверяя каждое действие перед тем, как разрешить его выполнение, что снижает влияние LOLBins.
-
Аппаратная безопасность: Аппаратные функции безопасности могут помочь предотвратить атаки LOLBin, обеспечивая более строгие проверки изоляции и целостности.
Как прокси-серверы можно использовать или связывать с LOLBin
Прокси-серверы играют решающую роль в защите от атак на основе LOLBin. Их можно использовать следующими способами:
-
Инспекция дорожного движения: Прокси-серверы могут проверять сетевой трафик на наличие подозрительных шаблонов, включая сообщения, обычно связанные с LOLBins.
-
Фильтрация вредоносного контента: Прокси могут блокировать доступ к известным вредоносным доменам и IP-адресам, используемым операторами LOLBin.
-
Расшифровка SSL/TLS: Прокси-серверы могут расшифровывать и проверять зашифрованный трафик, чтобы обнаруживать и блокировать вредоносные полезные данные, доставляемые через LOLBins.
-
Обнаружение анонимизации: Прокси могут идентифицировать и блокировать попытки использования методов анонимизации для сокрытия трафика LOLBin.
Ссылки по теме
Для получения дополнительной информации о LOLBins и передовых методах кибербезопасности вы можете обратиться к следующим ресурсам:
- Жизнь за счет земли и уклонение от обнаружения: обзор распространенных практик – Исследовательская работа Кейси Смита, 2014 г.
- MITRE ATT&CK – LOLBins – Информация о LOLBins в рамках MITRE ATT&CK.
- Защита от ЛОЛБАС – Технический документ по защите от двоичных файлов и скриптов Living Off the Land.
LOLBins представляют собой серьезную проблему в постоянно развивающейся сфере кибербезопасности. Понимание их методов и использование стратегий превентивной защиты имеют решающее значение для защиты систем и данных от этих коварных угроз.
