LOLBins Undercover, a arte dos ataques invisíveis, esse foi o título da minha palestra na BXSec de 2025, onde explorei um pouco o mundo dos LOLBins. Aqui compartilho detalhes sobre o tema e a minha apresentação.
LOLBins Undercover
Living Off the Land Binaries (LOLBins) é uma técnica que se concentra em usar ferramentas legítimas já presentes em um sistema operacional para realizar atividades maliciosas.
A ideia é aproveitar a autorização de software legítimo, que geralmente não é revisto pelos sistemas de segurança.
- Já estão no sistema
- Assinados pela Microsoft
- Pouco monitorados por antivírus
Recursos online Living Off the Living Off the Land https://lolol.farm/
System Binary Proxy Execution
A apresentação eu fiz uma demo onde um arquivo do sistema Windows foi utilizado para executar outro arquivo (que poderia ser malicioso).
Adversários podem burlar defesas usando binários confiáveis ou assinados, como os da própria Microsoft, para executar códigos maliciosos. Esses arquivos já vêm no sistema ou podem ser baixados, e por serem assinados digitalmente, passam como legítimos. O mesmo pode acontecer no Linux, onde ferramentas comuns, como o comando split, podem ser exploradas para rodar comandos maliciosos.
MITRE ATT&CK
O MITRE ATT&CK é uma base de conhecimento que organiza e descreve as táticas e técnicas usadas por adversários em ataques cibernéticos do mundo real. https://attack.mitre.org/techniques/T1218
System Binary Proxy Execution
ID: T1218
Sub-techniques:
- 001 Compiled HTML File
- 002 Control Panel
- 003 CMSTP
- 004 InstallUtil
- 005 Mshta
- 007 Msiexec
- 008 Odbcconf
- 009 Regsvcs/Regasm
- 010 Regsvr32
- 011 Rundll32
- 012 Verclsid
- 013 Mavinject
- 014 MMC
- 015 Electron Applications
Táticas Associadas: Evasão de divisão (TA0005)
A Evasão de Defesa consiste em técnicas que os adversários usam para evitar a detecção durante o ataque. Técnicas usadas para evasão de defesa incluem desinstalar/desabilitar softwares de segurança ou ofuscar/criptografar dados e scripts. Os adversários também utilizam e abusam de processos confiáveis para ocultar e mascarar seu malware. Outras táticas são listadas aqui quando incluem o benefício adicional de subverter as defesas.
Seja o primeiro a comentar