Skip to content

Que sont les living-off-the-land binaries (LOLBins), et comment chasseriez-vous leur abus ?

Réponse courte

Les LOLBins (living-off-the-land binaries) sont des outils système légitimes, signés et préinstallés — comme certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — que les attaquants détournent pour télécharger, exécuter ou persister tout en se fondant dans l'activité d'administration normale. Comme le binaire lui-même est de confiance, on ne peut pas détecter sur le fichier ; on détecte sur le contexte : arguments de ligne de commande anormaux, processus parents inhabituels, connexions réseau inattendues depuis ces outils, et exécution depuis des chemins étranges ou par des utilisateurs inhabituels.

Les living-off-the-land binaries — LOLBins — sont la manière qu'a l'attaquant de se cacher à la vue de tous. Ce sont des outils légitimes, signés, fournis par Microsoft (ou autrement préinstallés) réaffectés à des fins malveillantes. Comme le binaire est de confiance, les contrôles traditionnels basés sur le fichier le laissent passer.

Coupables fréquents

certutil (téléchargement/encodage), bitsadmin (téléchargement/persistance), mshta, rundll32 et regsvr32 (proxy execution), wmic (exécution/déplacement latéral), powershell et cmd, msbuild, installutil. Le projet LOLBAS catalogue ces outils et les techniques qu'ils permettent. ATT&CK regroupe une grande partie de cela sous signed binary proxy execution (T1218).

Pourquoi le fichier est le mauvais élément à détecter

L'exécutable est authentique et souvent en liste blanche, la détection basée sur le hash ou la signature est donc inutile. Vous devez détecter sur la façon dont il est utilisé.

Où vit le signal

  • Ligne de commandecertutil -urlcache -f http://... ou des arguments de décodage base64 sont bien hors de l'usage administratif normal. La journalisation complète des lignes de commande est essentielle.
  • Processus parent — un winword.exe ou mshta.exe engendrant un powershell.exe est anormal ; un certutil bénin est rarement lancé par une application Office.
  • Comportement réseau — un certutil ou bitsadmin établissant des connexions sortantes vers des hôtes non corporatifs est un indice fort.
  • Chemin et utilisateur — exécution depuis des répertoires temporaires/inscriptibles par l'utilisateur ou par des comptes qui n'exécutent jamais ces outils.

Approche de chasse

Référencez l'usage normal de chaque binaire, puis chassez les écarts ci-dessus. Promouvez les constats durables en règles Sigma étiquetées T1218.

Pourquoi c'est important

Les recruteurs seniors attendent que vous sachiez que le binaire est de confiance, donc que la détection est comportementale — ligne de commande, lignée et réseau — et que la visibilité des lignes de commande en est le prérequis.

Questions de suivi probables

  • Pourquoi mettre le binaire en liste blanche n'aide-t-il pas contre l'abus de LOLBin ?
  • Qu'y a-t-il de suspect à ce que certutil ou bitsadmin établissent des connexions sortantes ?
  • Comment l'analyse des processus parent-enfant aide-t-elle ici ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.