در دنیای همیشه در حال تکامل امنیت سایبری، مهاجمان دائماً در حال ابداع راههای جدید و مبتکرانه برای نفوذ به سیستمها و به خطر انداختن دادهها هستند. یکی از تکنیکهایی که در بین مجرمان سایبری شهرت پیدا میکند، استفاده از Living Off the Land Binaries (LOLBIN) است. این فایلها و ابزارهای سیستمی به ظاهر بیضرر، بومی سیستم عامل ویندوز، به ابزارهای قدرتمندی برای مهاجمان تبدیل شدهاند. در این مقاله به این موضوع می پردازیم که LOLBIN ها چیست و هدف آنها چیست و برخی از معروف ترین آنها را معرفی می کنیم.
درک LOLBIN
ابزارهای LOLBIN ها چه هستند؟
ابزارهای Living Off the Land Binaries که اغلب به اختصار LOLBIN نامیده می شود، به باینری های سیستم قانونی و ابزارهایی اشاره دارد که توسط مهاجمان برای انجام فعالیت های مخرب روی یک سیستم در معرض خطر استفاده می شود. این فایلها معمولاً در هر دستگاه ویندوز یافت میشوند و عملکردهای قانونی آنها را برای فرار از شناسایی توسط نرمافزارهای امنیتی ایدهآل میسازد.
هدف از LOLBIN ها
هدف اصلی LOLBIN ها ترکیب شدن با عملکرد عادی یک سیستم است که تمایز بین فعالیت های مشروع و مخرب را برای ابزارهای امنیتی دشوار می کند. مهاجمان از این باینری ها برای اجرای دستورات، اجرای اسکریپت ها و انجام اقدامات مخرب مختلف استفاده می کنند، در حالی که به نظر می رسد فقط از ابزارهای استاندارد و داخلی استفاده می کنند.
چرا LOLBIN ها برای مهاجمان جذاب هستند؟
چندین عامل LOLBIN ها را به انتخابی جذاب برای مجرمان سایبری تبدیل می کند:
ابزارهای Evasion: LOLBIN ها به مهاجمان اجازه می دهند تا با اجتناب از نیاز به معرفی فایل ها یا نرم افزارهای مخرب به سیستم قربانی، مخفیانه عمل کنند. از آنجایی که این باینری ها بخشی از سیستم عامل قانونی هستند، احتمال کمتری وجود دارد که مشکوک شوند.
قابلیت اطمینان: LOLBIN ها بسیار قابل اعتماد هستند، زیرا بخشی از خود سیستم عامل هستند. مهاجمان می توانند روی وجود و کارکرد این ابزارها در اکثر سیستم های ویندوز حساب کنند.
دور زدن امنیت: راهحلهای امنیتی اغلب این باینریهای سیستم قابل اعتماد را نادیده میگیرند یا حذف میکنند و به مهاجمان این امکان را میدهند که بدون ایجاد آلارم یا هشدار از آنها استفاده کنند.
کاهش ردپا: LOLBIN ها نیازی به دانلود یا نصب فایل های اضافی ندارند، که ردپای دیجیتالی حمله را کاهش می دهد و تحقیقات پزشکی قانونی را چالش برانگیزتر می کند.
اکنون که متوجه شدیم LOLBIN چیست و چرا مهاجمان از آنها حمایت می کنند، بیایید برخی از معروف ترین LOLBIN هایی را که در حملات سایبری به کار رفته اند را بررسی کنیم.
ابزارهای LOLBIN معروف در چشم انداز امنیت سایبری
نرم افزار Powershell: در حالی که خود یک باینری نیست، Powershell یک زبان برنامه نویسی قدرتمند است که در سیستم های ویندوز ساخته شده است. مهاجمان معمولاً از آن برای اجرای اسکریپت ها و دستورات استفاده می کنند، اغلب بارهای مخرب را از اینترنت دانلود می کنند یا حملاتی را انجام می دهند.
نرم افزار Regsvr32.exe: Regsvr32.exe یک باینری قانونی ویندوز است که برای ثبت و لغو ثبت فایل های DLL استفاده می شود. با این حال، میتوان از آن برای دانلود و اجرای بارهای مخرب از سرورهای راه دور نیز استفاده کرد که آن را در بین مهاجمان برای حملات بدون فایل مورد علاقه قرار میدهد.
نرم افزارهای Cscript و Wscript: این دو باینری برای اجرای اسکریپت های Windows Script Host استفاده می شود. آنها را می توان برای اجرای کدهای مخرب جاوا اسکریپت یا VBScript، اغلب بدون دست زدن به دیسک، به کار برد که تشخیص آنها را دشوار می کند.
نرم افزار Mshta.exe: Microsoft HTML Application Host (mshta.exe) برای اجرای برنامه های HTML (فایل های hta) استفاده می شود. مهاجمان می توانند از آن برای اجرای اسکریپت های مخرب یا بارگیری بارهای مخرب از اینترنت در حالی که خوش خیم به نظر می رسند استفاده کنند.
نرم افزارRundll32.exe: Rundll32.exe یک ابزار قانونی ویندوز است که برای اجرای توابع در کتابخانه های پیوند پویا (DLL) استفاده می شود. مهاجمان می توانند از آن برای اجرای کدهای مخرب موجود در DLL استفاده کنند، اغلب بدون ایجاد فرآیند جدید.
نرم افزار Certutil.exe: Certutil یک ابزار ویندوزی است که برای مدیریت گواهی ها استفاده می شود. همچنین می تواند محتوای رمزگذاری شده با Base64 را رمزگشایی کند، که مهاجمان از آن برای دانلود و اجرای بارهای مخرب پنهان شده در فایل های رمزگذاری شده استفاده می کنند.
نرم افزار At.exe: Windows Task Scheduler (at.exe) میتواند برای برنامهریزی کارهای مخرب و اجرای دستورات در زمانها یا فواصل زمانی خاص مورد سوء استفاده قرار گیرد، و به مهاجمان اجازه میدهد تا پایداری خود را در یک سیستم در معرض خطر حفظ کنند.
شناسایی و کاهش حملات LOLBIN
تشخیص استفاده از LOLBIN می تواند چالش برانگیز باشد، زیرا این ابزارها برای ترکیب با محیط قانونی سیستم در نظر گرفته شده اند. با این حال، سازمان ها می توانند چندین استراتژی را برای ارتقای وضعیت امنیتی خود پیاده سازی کنند:
تجزیه و تحلیل مبتنی بر رفتار: راه حل های امنیتی باید به جای تکیه بر تشخیص مبتنی بر امضا، بر تشخیص رفتار غیرعادی یا مشکوک تمرکز کنند. فعالیت غیرعادی توسط باینری های شناخته شده می تواند نشانه ای از حمله LOLBIN باشد.
لیست برنامه های سفید : اجرای لیست سفید برنامه ها می تواند به محدود کردن اجرای باینری ها به منابع قابل اعتماد کمک کند و از اجرای کدهای مخرب توسط مهاجمان جلوگیری کند.
نظارت کاربر و نقطه پایانی: به طور مداوم بر فعالیت های کاربر و نقطه پایانی برای رفتار غیرعادی نظارت کنید. تجزیه و تحلیل رفتاری و تجزیه و تحلیل رفتار کاربر می تواند به شناسایی الگوهای فعالیت مشکوک کمک کند.
وصله منظم: به روز نگه داشتن سیستم ها با آخرین وصله های امنیتی می تواند برخی از حملات LOLBIN را کاهش دهد، زیرا مهاجمان اغلب از آسیب پذیری ها برای دستیابی به دسترسی سوء استفاده می کنند.
آموزش آگاهی از امنیت: آموزش کارمندان و کاربران در مورد خطرات مرتبط با LOLBIN ها و تاکتیک های مهندسی اجتماعی می تواند به جلوگیری از موفقیت حملات کمک کند.
تقسیمبندی شبکه: سیستمهای حیاتی را از سیستمهای کمتر بحرانی جدا کنید تا در صورت رخنه، گسترش حمله را محدود کنید.
نتیجه
نرم افزارهای Living Off the Land Binaries (LOLBIN) به دلیل توانایی آنها برای کار مخفیانه در سیستم عامل ویندوز به ابزاری برای مجرمان سایبری تبدیل شده است. این باینری ها و ابزارهای سیستم به ظاهر خوش خیم برای انجام فعالیت های مخرب در حالی که از شناسایی فرار می کنند استفاده می شود. با ادامه تکامل حملات سایبری، سازمان ها باید هوشیار بمانند، اقدامات امنیتی قوی را اجرا کنند و از تکنیک های تشخیص پیشرفته برای محافظت از سیستم های خود در برابر حملات مبتنی بر LOLBIN استفاده کنند. آگاهی از وجود و تهدیدات احتمالی ناشی از LOLBIN ها اولین گام برای دفاع در برابر این دشمنان پنهانکار در دنیای امنیت سایبری است.
