Skip to content

Was sind Living-off-the-Land-Binaries (LOLBins), und wie würden Sie ihren Missbrauch aufspüren?

Kurzantwort

LOLBins (Living-off-the-Land-Binaries) sind legitime, signierte, vorinstallierte Systemwerkzeuge — wie certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — die Angreifer missbrauchen, um herunterzuladen, auszuführen oder zu persistieren, während sie sich in die normale Administratortätigkeit einfügen. Da die Binärdatei selbst vertrauenswürdig ist, kann man nicht auf die Datei erkennen; man erkennt auf den Kontext: anomale Befehlszeilenargumente, ungewöhnliche Elternprozesse, unerwartete Netzwerkverbindungen von diesen Werkzeugen sowie Ausführung aus merkwürdigen Pfaden oder durch merkwürdige Benutzer.

Living-off-the-Land-Binaries — LOLBins — sind die Art und Weise des Angreifers, sich in aller Öffentlichkeit zu verstecken. Es sind legitime, signierte, von Microsoft ausgelieferte (oder anderweitig vorinstallierte) Werkzeuge, die für bösartige Zwecke zweckentfremdet werden. Da die Binärdatei vertrauenswürdig ist, winken traditionelle dateibasierte Kontrollen sie durch.

Häufige Übeltäter

certutil (Download/Kodierung), bitsadmin (Download/Persistenz), mshta, rundll32 und regsvr32 (Proxy Execution), wmic (Ausführung/laterale Bewegung), powershell und cmd, msbuild, installutil. Das LOLBAS-Projekt katalogisiert diese Werkzeuge und die Techniken, die sie ermöglichen. ATT&CK fasst vieles davon unter Signed Binary Proxy Execution (T1218) zusammen.

Warum die Datei das Falsche zum Erkennen ist

Die ausführbare Datei ist echt und oft auf der Whitelist, daher ist hash- oder signaturbasierte Erkennung nutzlos. Sie müssen darauf erkennen, wie sie verwendet wird.

Wo das Signal lebt

  • Befehlszeilecertutil -urlcache -f http://... oder Base64-Dekodierungsargumente liegen weit außerhalb der normalen Administratornutzung. Vollständiges Befehlszeilen-Logging ist unerlässlich.
  • Elternprozess — eine winword.exe oder mshta.exe, die eine powershell.exe erzeugt, ist anomal; ein gutartiges certutil wird selten von einer Office-Anwendung gestartet.
  • Netzwerkverhalten — ein certutil oder bitsadmin, das ausgehende Verbindungen zu nicht-firmeneigenen Hosts aufbaut, ist ein starkes Indiz.
  • Pfad und Benutzer — Ausführung aus temporären/benutzerbeschreibbaren Verzeichnissen oder durch Konten, die diese Werkzeuge nie ausführen.

Hunting-Ansatz

Erstellen Sie eine Baseline der normalen Nutzung jeder Binärdatei und jagen Sie dann die obigen Abweichungen. Heben Sie dauerhafte Befunde zu Sigma-Regeln an, die mit T1218 getaggt sind.

Warum das wichtig ist

Senior-Interviewer erwarten, dass Sie wissen, dass die Binärdatei vertrauenswürdig ist, die Erkennung also verhaltensbasiert ist — Befehlszeile, Abstammung und Netzwerk — und dass Befehlszeilen-Sichtbarkeit die Voraussetzung ist.

Wahrscheinliche Anschlussfragen

  • Warum hilft das Whitelisting der Binärdatei nicht gegen LOLBin-Missbrauch?
  • Was ist verdächtig daran, wenn certutil oder bitsadmin ausgehende Verbindungen aufbauen?
  • Wie hilft hier die Analyse von Eltern-Kind-Prozessen?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.