LOLBAS/LOLBins

Was ist ein LOLBin?

Ein LOLBin (Living Off The Land Binary) ist eine legitime Systemdatei oder ein Skript, das ursprünglich für administrative oder diagnostische Zwecke entwickelt wurde. Angreifer nutzen diese Dateien jedoch, um schädliche Aktivitäten auszuführen, ohne neue, verdächtige Dateien ins System einzuschleusen. Dieses Vorgehen erschwert die Erkennung durch traditionelle Sicherheitslösungen wie Antivirus-Programme. Ein Beispiel ist “certutil.exe” auf Windows-Systemen, das für die Verwaltung von Zertifikaten entwickelt wurde, jedoch auch zum Herunterladen von Malware zweckentfremdet werden kann.

Können Sie ein Beispiel für einen LOLBin nennen?

Ein prominentes Beispiel ist “powershell.exe”, ein leistungsstarkes Verwaltungstool auf Windows-Betriebssystemen. Angreifer können PowerShell-Skripte nutzen, um Befehle auszuführen, sensible Daten zu exfiltrieren oder Schadsoftware zu laden. Ein weiteres Beispiel ist “mshta.exe”, eine Datei zur Ausführung von HTML-Anwendungen, die Angreifer verwenden, um bösartige JavaScript- oder VBScript-Codes auszuführen.

Welche LOLBins werden am häufigsten verwendet?

  • powershell.exe: Für die Ausführung von Skripten und die Automatisierung. Häufig zur Umgehung von Sicherheitskontrollen missbraucht.
  • wmic.exe: Ermöglicht Abfragen und Manipulationen von Systeminformationen und wird oft zur Ausführung von Befehlen auf mehreren Geräten eingesetzt.
  • mshta.exe: Lädt schädliche HTML- oder VBScript-Dateien.
  • rundll32.exe: Wird verwendet, um DLL-Dateien auszuführen, die Schadcode enthalten können.
  • certutil.exe: Wird zur Verwaltung von Zertifikaten verwendet, jedoch auch zur Übertragung von Daten über HTTP.

Diese Tools sind besonders attraktiv, weil sie in den meisten Betriebssystemen vorinstalliert sind und als vertrauenswürdig gelten.

Wie unterscheiden sich LOLBAS von herkömmlicher Malware?

LOLBAS-Techniken nutzen bestehende und vertrauenswürdige Systemdateien, während herkömmliche Malware in der Regel als separater, erkennbarer Code ins System eingefügt wird. Da LOLBins Teil des Betriebssystems sind, werden sie oft von Sicherheitslösungen nicht als Bedrohung erkannt. Darüber hinaus wird keine zusätzliche Software installiert, was die Erkennung und forensische Analyse deutlich erschwert. Angreifer können so unauffälliger agieren und Sicherheitsmaßnahmen umgehen, die auf neuen oder unbekannten Dateien basieren.

Wie können sich Unternehmen vor LOLBAS-Angriffen schützen?

  1. Überwachung und Protokollierung:
    • Tools wie PowerShell sollten in restriktiven Modi ausgeführt werden, die nur signierte Skripte zulassen.
    • Überwachungstools wie Endpoint Detection and Response (EDR) können Anomalien im Verhalten legitimer Dateien identifizieren.
  2. Restriktionen durchsetzen:
    • Application Whitelisting: Nur autorisierte Programme dürfen ausgeführt werden.
    • Group Policies: Einschränken, welche Benutzer Zugriff auf administrative Tools wie PowerShell oder WMI haben.
  3. Schulung und Sensibilisierung:
    • IT-Teams sollten geschult werden, typische Anzeichen von LOLBAS-Techniken zu erkennen.
  4. Zero-Trust-Strategie:
    • Eine Zero-Trust-Architektur stellt sicher, dass keine Anwendung oder Datei uneingeschränkt ausgeführt werden kann, selbst wenn sie auf den ersten Blick vertrauenswürdig erscheint.
  5. Forensische Analyse:
    • Protokolle von SIEM-Systemen (Security Information and Event Management) können verwendet werden, um verdächtige Aktivitäten nachzuverfolgen.

Gibt es Ressourcen, um mehr über LOLBAS zu erfahren?

Das LOLBAS-Projekt ist eine der umfassendsten Ressourcen für IT-Entscheider und Sicherheitsexperten. Es dokumentiert eine Vielzahl von bekannten LOLBins, LOLLibs (Living Off The Land Libraries) und LOLScripts, einschließlich ihrer legitimen und missbräuchlichen Nutzungsmöglichkeiten. Hier finden sich auch Empfehlungen zur Prävention und Identifikation.

Cookie Consent mit Real Cookie Banner