LOLBin, скорочення від «Living Off the Land Binaries», — це термін, який використовується в кібербезпеці для позначення законних виконуваних файлів, інструментів або сценаріїв, присутніх в операційній системі Windows, якими можуть зловживати зловмисники для здійснення зловмисних дій. Ці двійкові файли є рідними для системи та зазвичай використовуються кіберзлочинцями для обходу традиційних заходів безпеки. Використовуючи ці попередньо встановлені двійкові файли, зловмисники можуть уникнути виявлення та ускладнити інструментам безпеки розрізняти законні та зловмисні дії.
Історія виникнення LOLBin і перші згадки про нього
Концепція LOLBins набула популярності в спільноті кібербезпеки приблизно в 2014 році, коли дослідники безпеки почали спостерігати збільшення безфайлових атак і методів, які використовують законні системні утиліти для зловмисних цілей. Перша згадка про LOLBins була в дослідницькій статті під назвою «Living off the Land and Evading Detection – A Survey of Common Practices» Кейсі Сміт у 2014 році. Ця стаття проливає світло на те, як зловмисники використовували вбудовані двійкові файли Windows, щоб приховати свою діяльність і уникати виявлення.
Детальна інформація про LOLBin: Розширення теми LOLBin
LOLBins представляють розумну стратегію, яку використовують кіберсупротивники, щоб не помітити радарів. Ці попередньо встановлені двійкові файли надають зловмисникам широкий арсенал для виконання різноманітних команд, взаємодії з системою та проведення розвідки без необхідності скидати додаткові шкідливі файли на машину жертви. Вони зазвичай використовуються в безфайлових атаках, коли атака відбувається виключно в пам’яті, не залишаючи майже ніяких слідів на жорсткому диску.
Використання LOLBins часто поєднується з іншими методами, такими як тактика життя за межами землі, сценарії PowerShell і WMI (Windows Management Instrumentation), щоб максимізувати їхню ефективність. LOLBins особливо ефективні в сценаріях після експлуатації, оскільки вони дозволяють зловмисникам змішуватися з законною діяльністю системи, ускладнюючи аналітикам безпеки розрізнити нормальну поведінку від зловмисної.
Внутрішня структура LOLBin: як працює LOLBin
LOLBins — це рідні двійкові файли Windows, попередньо встановлені в операційній системі. Вони мають законні функції та розроблені для допомоги у виконанні різноманітних адміністративних завдань, обслуговування системи та усунення несправностей. Зловмисники маніпулюють цими двійковими файлами для досягнення зловмисних цілей, не викликаючи підозр. Внутрішня структура LOLBin така ж, як і будь-якого звичайного системного двійкового файлу, що дозволяє йому працювати непомітно для рішень безпеки.
Процес зазвичай передбачає використання аргументів командного рядка для виклику певних функцій, виконання команд PowerShell або доступу до конфіденційних системних ресурсів. Зловмисники можуть використовувати LOLBins для виконання коду, створення або зміни файлів, запитів до системного реєстру, спілкування через мережу та виконання інших дій, необхідних для досягнення своїх цілей.
Аналіз ключових можливостей LOLBin
LOLBins пропонують кілька ключових функцій, які роблять їх привабливими для загрозливих акторів:
-
Законний зовнішній вигляд: LOLBins мають дійсні цифрові підписи та зазвичай підписані корпорацією Майкрософт, що робить їх надійними й обходять перевірки безпеки.
-
Невидимість: оскільки вони є рідними системними двійковими файлами, LOLBins можуть виконувати зловмисний код, не виявляючи червоних прапорців і не запускаючи сповіщення від рішень безпеки.
-
Не потрібно видаляти зловмисне програмне забезпечення: LOLBins не вимагають від зловмисників скидати додаткові файли в систему жертви, що зменшує ймовірність виявлення.
-
Зловживання довіреними інструментами: зловмисники використовують інструменти, які вже внесено до білого списку та вважаються безпечними, що ускладнює інструментам безпеки розрізняти законне та зловмисне використання.
-
Безфайлове виконання: LOLBins дозволяють безфайлові атаки, зменшуючи цифровий слід і збільшуючи складність судових розслідувань.
Типи LOLBin
| Тип LOLBin | опис |
|---|---|
| Сценарії PowerShell | Використовує PowerShell, потужну мову сценаріїв у Windows, для здійснення шкідливих дій. |
| Інструмент керування Windows (WMI) | Використовує WMI для віддаленого виконання сценаріїв і команд на цільових системах. |
| Командний рядок Windows (cmd.exe) | Використовує рідний інтерпретатор командного рядка Windows для виконання команд і сценаріїв. |
| Хост сценаріїв Windows (wscript.exe, cscript.exe) | Виконує сценарії, написані на VBScript або JScript. |
Способи використання LOLBin
-
Підвищення привілеїв: LOLBins можна використовувати для підвищення привілеїв у скомпрометованих системах, отримання доступу до конфіденційної інформації та ресурсів.
-
Збір інформації: Зловмисники використовують LOLBins для збору інформації про цільову систему, включаючи встановлене програмне забезпечення, конфігурацію мережі та облікові записи користувачів.
-
Бічний рух: зловмисники використовують LOLBins, щоб пересуватися всередині мережі, перестрибуючи з однієї системи на іншу, залишаючись непомітними.
-
Наполегливість: LOLBins дозволяють зловмисникам встановити постійність у скомпрометованій системі, забезпечуючи доступ до неї протягом тривалого періоду.
Використання LOLBins створює значні проблеми для фахівців з кібербезпеки. Деякі з проблем включають:
-
виявлення: Традиційним інструментам безпеки на основі сигнатур може бути важко виявити LOLBins через їх законну природу та відсутність відомих шаблонів шкідливого програмного забезпечення.
-
Видимість: Оскільки LOLBins працюють у законних системних процесах, вони часто уникають виявлення на основі аналізу поведінки.
-
Білий список: зловмисники можуть зловживати механізмами білого списку, які дозволяють відомим двійковим файлам працювати без обмежень.
-
Пом'якшення: Повністю вимкнути або заблокувати LOLBins неможливо, оскільки вони виконують основні функції системи.
Щоб вирішити ці виклики, організаціям необхідно прийняти багаторівневий підхід до безпеки, який включає:
- Поведінковий аналіз: Використовуйте методи виявлення на основі поведінки, щоб ідентифікувати аномальну діяльність, навіть у законних двійкових файлах.
- Виявлення аномалії: Використовуйте виявлення аномалій, щоб виявити відхилення від нормальної поведінки системи.
- Захист кінцевої точки: інвестуйте в розширені інструменти захисту кінцевих точок, які можуть виявляти безфайлові атаки та використання пам’яті.
- Навчання користувачів: Розкажіть користувачам про ризики фішингу та соціальної інженерії, які є поширеними векторами для здійснення атак на основі LOLBin.
Основні характеристики та інші порівняння з подібними термінами
| термін | опис |
|---|---|
| LOLBins | Законні двійкові файли системи, що використовуються для зловмисних цілей. |
| Безфайлові атаки | Атаки, які не покладаються на видалення файлів у цільовій системі, діючи виключно в пам’яті. |
| Імперія PowerShell | Структура після експлуатації, яка використовує PowerShell для наступальних операцій. |
| Тактика «Життя за рахунок землі». | Використання вбудованих інструментів для зловмисних дій. |
З розвитком технологій змінюватимуться і прийоми, які використовуються як нападниками, так і захисниками. Майбутнє LOLBins та їх контрзаходів, ймовірно, включатиме:
-
Виявлення, кероване ШІ: Рішення безпеки на основі штучного інтелекту покращать виявлення та запобігання атакам на основі LOLBin шляхом аналізу величезних обсягів даних і виявлення шаблонів, що вказують на зловмисну поведінку.
-
Покращення аналізу поведінки: Механізми виявлення на основі поведінки стануть більш досконалими, вони краще розрізнятимуть законні та зловмисні дії.
-
Архітектура нульової довіри: Організації можуть прийняти принципи нульової довіри, перевіряючи кожну дію перед тим, як дозволити виконання, зменшуючи вплив LOLBins.
-
Апаратна безпека: Апаратні функції безпеки можуть допомогти запобігти атакам LOLBin, посиливши перевірку ізоляції та цілісності.
Як проксі-сервери можна використовувати або асоціювати з LOLBin
Проксі-сервери відіграють вирішальну роль у захисті від атак на основі LOLBin. Їх можна використовувати такими способами:
-
Дорожня інспекція: Проксі-сервери можуть перевіряти мережевий трафік на наявність підозрілих шаблонів, у тому числі зв’язки, які зазвичай пов’язані з LOLBins.
-
Фільтрування шкідливого вмісту: Проксі-сервери можуть блокувати доступ до відомих шкідливих доменів і IP-адрес, які використовуються операторами LOLBin.
-
Дешифрування SSL/TLS: Проксі-сервери можуть розшифровувати та перевіряти зашифрований трафік, щоб виявляти та блокувати зловмисне корисне навантаження, що доставляється через LOLBins.
-
Виявлення анонімізації: Проксі можуть ідентифікувати та блокувати спроби використання методів анонімізації, щоб приховати трафік LOLBin.
Пов'язані посилання
Для отримання додаткової інформації про LOLBins і найкращі методи кібербезпеки ви можете звернутися до таких ресурсів:
- Життя за рахунок землі та уникнення виявлення – огляд поширених практик – Дослідницька робота Кейсі Сміта, 2014.
- MITRE ATT&CK – LOLBins – Інформація про LOLBins у рамках MITER ATT&CK.
- Захист від LOLBAS – Whitepaper щодо захисту від бінарних файлів і сценаріїв Living Off the Land.
LOLBins є серйозною проблемою в умовах кібербезпеки, що постійно змінюється. Розуміння їхніх методів і застосування проактивних стратегій захисту є критично важливими для захисту систем і даних від цих підступних загроз.
