Was sind Living-off-the-Land-Binaries (LOLBins), und wie würden Sie ihren Missbrauch aufspüren?
Kurzantwort
LOLBins (Living-off-the-Land-Binaries) sind legitime, signierte, vorinstallierte Systemwerkzeuge — wie certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — die Angreifer missbrauchen, um herunterzuladen, auszuführen oder zu persistieren, während sie sich in die normale Administratortätigkeit einfügen. Da die Binärdatei selbst vertrauenswürdig ist, kann man nicht auf die Datei erkennen; man erkennt auf den Kontext: anomale Befehlszeilenargumente, ungewöhnliche Elternprozesse, unerwartete Netzwerkverbindungen von diesen Werkzeugen sowie Ausführung aus merkwürdigen Pfaden oder durch merkwürdige Benutzer.
Living-off-the-Land-Binaries — LOLBins — sind die Art und Weise des Angreifers, sich in aller Öffentlichkeit zu verstecken. Es sind legitime, signierte, von Microsoft ausgelieferte (oder anderweitig vorinstallierte) Werkzeuge, die für bösartige Zwecke zweckentfremdet werden. Da die Binärdatei vertrauenswürdig ist, winken traditionelle dateibasierte Kontrollen sie durch.
Häufige Übeltäter
certutil (Download/Kodierung), bitsadmin (Download/Persistenz), mshta, rundll32 und regsvr32 (Proxy Execution), wmic (Ausführung/laterale Bewegung), powershell und cmd, msbuild, installutil. Das LOLBAS-Projekt katalogisiert diese Werkzeuge und die Techniken, die sie ermöglichen. ATT&CK fasst vieles davon unter Signed Binary Proxy Execution (T1218) zusammen.
Warum die Datei das Falsche zum Erkennen ist
Die ausführbare Datei ist echt und oft auf der Whitelist, daher ist hash- oder signaturbasierte Erkennung nutzlos. Sie müssen darauf erkennen, wie sie verwendet wird.
Wo das Signal lebt
- Befehlszeile —
certutil -urlcache -f http://...oder Base64-Dekodierungsargumente liegen weit außerhalb der normalen Administratornutzung. Vollständiges Befehlszeilen-Logging ist unerlässlich. - Elternprozess — eine
winword.exeodermshta.exe, die einepowershell.exeerzeugt, ist anomal; ein gutartigescertutilwird selten von einer Office-Anwendung gestartet. - Netzwerkverhalten — ein
certutiloderbitsadmin, das ausgehende Verbindungen zu nicht-firmeneigenen Hosts aufbaut, ist ein starkes Indiz. - Pfad und Benutzer — Ausführung aus temporären/benutzerbeschreibbaren Verzeichnissen oder durch Konten, die diese Werkzeuge nie ausführen.
Hunting-Ansatz
Erstellen Sie eine Baseline der normalen Nutzung jeder Binärdatei und jagen Sie dann die obigen Abweichungen. Heben Sie dauerhafte Befunde zu Sigma-Regeln an, die mit T1218 getaggt sind.
Warum das wichtig ist
Senior-Interviewer erwarten, dass Sie wissen, dass die Binärdatei vertrauenswürdig ist, die Erkennung also verhaltensbasiert ist — Befehlszeile, Abstammung und Netzwerk — und dass Befehlszeilen-Sichtbarkeit die Voraussetzung ist.
Wahrscheinliche Anschlussfragen
- Warum hilft das Whitelisting der Binärdatei nicht gegen LOLBin-Missbrauch?
- Was ist verdächtig daran, wenn certutil oder bitsadmin ausgehende Verbindungen aufbauen?
- Wie hilft hier die Analyse von Eltern-Kind-Prozessen?