LOLBins - czym są i dlaczego stanowią poważne zagrożenie dla cyberbezpieczeństwa
Współczesne cyberataki coraz rzadziej opierają się wyłącznie na złośliwym oprogramowaniu instalowanym w systemie ofiary. Cyberprzestępcy coraz częściej wykorzystują legalne narzędzia obecne już w systemach operacyjnych, aby ominąć zabezpieczenia i utrudnić wykrycie swojej aktywności. Jednym z najważniejszych pojęć związanych z tym trendem są LOLBins.
LOLBins to skrót od „Living Off the Land Binaries”. Termin odnosi się do legalnych plików wykonywalnych i narzędzi systemowych, które są wbudowane w system operacyjny i mogą być wykorzystywane zarówno do legalnych działań administracyjnych, jak i do przeprowadzania cyberataków.
Dla zespołów bezpieczeństwa oraz administratorów IT LOLBins stały się jednym z największych wyzwań współczesnego cyberbezpieczeństwa. Ataki wykorzystujące tego typu narzędzia są trudniejsze do wykrycia, ponieważ często nie wymagają instalowania dodatkowego malware.
Czym dokładnie są LOLBins?
LOLBins to legalne komponenty systemu operacyjnego wykorzystywane przez atakujących do wykonywania złośliwych działań. Najczęściej dotyczą systemów Windows, choć podobne techniki występują także w Linuxie i macOS.
Cyberprzestępcy używają tych narzędzi między innymi do:
- wykonywania poleceń,
- pobierania plików,
- uruchamiania skryptów,
- eskalacji uprawnień,
- omijania zabezpieczeń,
- poruszania się po sieci organizacji,
- utrzymywania trwałości w systemie.
Największym problemem jest fakt, że LOLBins są uznawane za zaufane przez system operacyjny i wiele rozwiązań bezpieczeństwa.
Dlaczego cyberprzestępcy wykorzystują LOLBins?
Ataki typu Living Off the Land stają się coraz popularniejsze, ponieważ pozwalają działać bardziej dyskretnie i skutecznie.
Korzyści dla atakujących obejmują:
- brak konieczności instalowania malware,
- mniejsze ryzyko wykrycia przez antywirusa,
- wykorzystanie legalnych procesów systemowych,
- łatwiejsze omijanie EDR i SIEM,
- możliwość działania bez wzbudzania podejrzeń użytkowników.
Dla zespołów SOC i administratorów oznacza to znacznie trudniejsze wykrywanie incydentów bezpieczeństwa.
Najpopularniejsze przykłady LOLBins
PowerShell
PowerShell to jedno z najczęściej wykorzystywanych narzędzi przez administratorów Windows. Jednocześnie jest bardzo często używany przez cyberprzestępców.
Może służyć do:
- pobierania złośliwych skryptów,
- wykonywania kodu w pamięci,
- komunikacji z serwerami C2,
- automatyzacji ataku.
PowerShell jest szczególnie niebezpieczny, ponieważ posiada ogromne możliwości administracyjne.
Certutil
Certutil to narzędzie systemowe służące do zarządzania certyfikatami. Atakujący wykorzystują je między innymi do pobierania plików z Internetu oraz dekodowania danych.
MSHTA
MSHTA pozwala uruchamiać aplikacje HTML. Cyberprzestępcy wykorzystują je do wykonywania złośliwych skryptów i omijania części zabezpieczeń systemowych.
Rundll32
Rundll32 służy do uruchamiania bibliotek DLL. Może być używany do wykonywania złośliwego kodu bez konieczności uruchamiania klasycznego pliku EXE.
WMIC
Windows Management Instrumentation Command-line umożliwia zdalne zarządzanie systemami. Atakujący często wykorzystują WMIC do lateral movement, czyli przemieszczania się po sieci organizacji.
LOLBins a ataki ransomware
Współczesne grupy ransomware bardzo często wykorzystują techniki Living Off the Land. Dzięki temu mogą działać w środowisku ofiary przez dłuższy czas bez wykrycia.
Cyberprzestępcy używają LOLBins między innymi do:
- rozpoznania infrastruktury,
- wyłączania zabezpieczeń,
- pobierania narzędzi ofensywnych,
- eskalacji uprawnień,
- rozprzestrzeniania ransomware w sieci.
W praktyce oznacza to, że organizacja może zostać zaatakowana bez klasycznych sygnatur malware wykrywanych przez tradycyjne rozwiązania antywirusowe.
Dlaczego wykrywanie LOLBins jest trudne?
Klasyczne rozwiązania bezpieczeństwa opierają się często na wykrywaniu znanego malware lub podejrzanych plików wykonywalnych. W przypadku LOLBins sytuacja wygląda inaczej.
Problemy z wykrywaniem wynikają z faktu, że:
- narzędzia są legalne,
- są podpisane cyfrowo przez Microsoft,
- występują standardowo w systemie,
- administratorzy używają ich na co dzień,
- ich aktywność nie zawsze wygląda podejrzanie.
Dlatego organizacje coraz częściej inwestują w rozwiązania EDR, XDR oraz zaawansowaną analizę behawioralną.
Jak chronić organizację przed LOLBins?
Nie da się całkowicie usunąć LOLBins z systemów operacyjnych, ponieważ wiele z nich jest potrzebnych do codziennego funkcjonowania infrastruktury IT. Można jednak znacząco ograniczyć ryzyko ich nadużycia.
Monitorowanie aktywności systemowej
Kluczowe znaczenie ma analiza zachowania procesów i użytkowników.
Warto monitorować:
- nietypowe użycie PowerShell,
- uruchamianie narzędzi administracyjnych przez zwykłych użytkowników,
- połączenia sieciowe inicjowane przez LOLBins,
- nietypowe skrypty i polecenia.
Ograniczenie uprawnień
Im mniejsze uprawnienia posiada użytkownik, tym trudniej wykorzystać LOLBins do przeprowadzenia skutecznego ataku.
Zasada least privilege pozostaje jednym z najważniejszych elementów cyberbezpieczeństwa.
Application Control i allowlisting
Wiele organizacji wdraża polityki allowlisting, które ograniczają możliwość uruchamiania określonych narzędzi lub skryptów.
Przykładowo można:
- ograniczyć PowerShell,
- blokować uruchamianie MSHTA,
- wyłączyć nieużywane komponenty systemowe.
Zaawansowane rozwiązania EDR/XDR
Nowoczesne systemy bezpieczeństwa analizują zachowanie procesów i potrafią wykrywać nietypowe działania nawet wtedy, gdy wykorzystywane są legalne narzędzia systemowe.
LOLBins a NIS2 i compliance
W kontekście NIS2 oraz nowych regulacji cyberbezpieczeństwa organizacje muszą coraz lepiej monitorować aktywność w swoich środowiskach IT.
Ataki wykorzystujące LOLBins pokazują, że:
- tradycyjny antywirus nie wystarcza,
- konieczne jest monitorowanie behawioralne,
- potrzebne są procedury Incident Response,
- zespoły SOC muszą analizować anomalie, a nie tylko malware.
Brak odpowiednich mechanizmów wykrywania może prowadzić nie tylko do strat biznesowych, ale również do problemów regulacyjnych i odpowiedzialności zarządu.
Czy LOLBins są wykorzystywane tylko przez zaawansowanych atakujących?
Nie. Choć techniki Living Off the Land były kiedyś domeną zaawansowanych grup APT, dziś są szeroko dostępne.
W Internecie można znaleźć:
- gotowe skrypty,
- tutoriale,
- frameworki ofensywne,
- publiczne listy LOLBins.
To sprawia, że nawet mniej doświadczeni cyberprzestępcy mogą wykorzystywać legalne narzędzia systemowe do prowadzenia ataków.
LOLBAS - baza wiedzy o LOLBins
W środowisku cyberbezpieczeństwa bardzo popularny jest projekt LOLBAS (Living Off the Land Binaries and Scripts). Jest to publiczna baza zawierająca informacje o narzędziach systemowych, które mogą być wykorzystywane ofensywnie.
Projekt pomaga:
- analitykom SOC,
- pentesterom,
- administratorom,
- zespołom blue team,
- specjalistom IR
lepiej rozumieć techniki stosowane przez atakujących.
Podsumowanie
LOLBins to jedno z najważniejszych zagrożeń współczesnego cyberbezpieczeństwa. Cyberprzestępcy coraz częściej wykorzystują legalne narzędzia systemowe zamiast klasycznego malware, co znacząco utrudnia wykrywanie ataków.
Techniki Living Off the Land są wykorzystywane w ransomware, atakach APT oraz incydentach związanych z lateral movement i eskalacją uprawnień. Dlatego organizacje powinny inwestować nie tylko w klasyczne rozwiązania antywirusowe, ale również w monitoring behawioralny, EDR/XDR oraz procedury Incident Response.
W świecie nowoczesnych cyberzagrożeń największym problemem nie zawsze jest złośliwy plik. Coraz częściej zagrożeniem stają się legalne narzędzia, które znajdują się już wewnątrz systemu.
