Loop Lunatic
Loop Lunatic
خواندن ۶ دقیقه·۴ ماه پیش

کشف LOLBIN ها: ابزارهای مخفی پنهان در دید ساده

در دنیای همیشه در حال تکامل امنیت سایبری، مهاجمان دائماً در حال ابداع راه‌های جدید و مبتکرانه برای نفوذ به سیستم‌ها و به خطر انداختن داده‌ها هستند. یکی از تکنیک‌هایی که در بین مجرمان سایبری شهرت پیدا می‌کند، استفاده از Living Off the Land Binaries (LOLBIN) است. این فایل‌ها و ابزارهای سیستمی به ظاهر بی‌ضرر، بومی سیستم عامل ویندوز، به ابزارهای قدرتمندی برای مهاجمان تبدیل شده‌اند. در این مقاله به این موضوع می پردازیم که LOLBIN ها چیست و هدف آنها چیست و برخی از معروف ترین آنها را معرفی می کنیم.

درک LOLBIN

ابزارهای LOLBIN ها چه هستند؟

ابزارهای Living Off the Land Binaries که اغلب به اختصار LOLBIN نامیده می شود، به باینری های سیستم قانونی و ابزارهایی اشاره دارد که توسط مهاجمان برای انجام فعالیت های مخرب روی یک سیستم در معرض خطر استفاده می شود. این فایل‌ها معمولاً در هر دستگاه ویندوز یافت می‌شوند و عملکردهای قانونی آن‌ها را برای فرار از شناسایی توسط نرم‌افزارهای امنیتی ایده‌آل می‌سازد.

هدف از LOLBIN ها

هدف اصلی LOLBIN ها ترکیب شدن با عملکرد عادی یک سیستم است که تمایز بین فعالیت های مشروع و مخرب را برای ابزارهای امنیتی دشوار می کند. مهاجمان از این باینری ها برای اجرای دستورات، اجرای اسکریپت ها و انجام اقدامات مخرب مختلف استفاده می کنند، در حالی که به نظر می رسد فقط از ابزارهای استاندارد و داخلی استفاده می کنند.

چرا LOLBIN ها برای مهاجمان جذاب هستند؟

چندین عامل LOLBIN ها را به انتخابی جذاب برای مجرمان سایبری تبدیل می کند:

  • ابزارهای Evasion: LOLBIN ها به مهاجمان اجازه می دهند تا با اجتناب از نیاز به معرفی فایل ها یا نرم افزارهای مخرب به سیستم قربانی، مخفیانه عمل کنند. از آنجایی که این باینری ها بخشی از سیستم عامل قانونی هستند، احتمال کمتری وجود دارد که مشکوک شوند.
  • قابلیت اطمینان: LOLBIN ها بسیار قابل اعتماد هستند، زیرا بخشی از خود سیستم عامل هستند. مهاجمان می توانند روی وجود و کارکرد این ابزارها در اکثر سیستم های ویندوز حساب کنند.
  • دور زدن امنیت: راه‌حل‌های امنیتی اغلب این باینری‌های سیستم قابل اعتماد را نادیده می‌گیرند یا حذف می‌کنند و به مهاجمان این امکان را می‌دهند که بدون ایجاد آلارم یا هشدار از آنها استفاده کنند.
  • کاهش ردپا: LOLBIN ها نیازی به دانلود یا نصب فایل های اضافی ندارند، که ردپای دیجیتالی حمله را کاهش می دهد و تحقیقات پزشکی قانونی را چالش برانگیزتر می کند.

اکنون که متوجه شدیم LOLBIN چیست و چرا مهاجمان از آنها حمایت می کنند، بیایید برخی از معروف ترین LOLBIN هایی را که در حملات سایبری به کار رفته اند را بررسی کنیم.

ابزارهای LOLBIN معروف در چشم انداز امنیت سایبری

  • نرم افزار Powershell: در حالی که خود یک باینری نیست، Powershell یک زبان برنامه نویسی قدرتمند است که در سیستم های ویندوز ساخته شده است. مهاجمان معمولاً از آن برای اجرای اسکریپت ها و دستورات استفاده می کنند، اغلب بارهای مخرب را از اینترنت دانلود می کنند یا حملاتی را انجام می دهند.
  • نرم افزار Regsvr32.exe: Regsvr32.exe یک باینری قانونی ویندوز است که برای ثبت و لغو ثبت فایل های DLL استفاده می شود. با این حال، می‌توان از آن برای دانلود و اجرای بارهای مخرب از سرورهای راه دور نیز استفاده کرد که آن را در بین مهاجمان برای حملات بدون فایل مورد علاقه قرار می‌دهد.
  • نرم افزارهای Cscript و Wscript: این دو باینری برای اجرای اسکریپت های Windows Script Host استفاده می شود. آنها را می توان برای اجرای کدهای مخرب جاوا اسکریپت یا VBScript، اغلب بدون دست زدن به دیسک، به کار برد که تشخیص آنها را دشوار می کند.
  • نرم افزار Mshta.exe: Microsoft HTML Application Host (mshta.exe) برای اجرای برنامه های HTML (فایل های hta) استفاده می شود. مهاجمان می توانند از آن برای اجرای اسکریپت های مخرب یا بارگیری بارهای مخرب از اینترنت در حالی که خوش خیم به نظر می رسند استفاده کنند.
  • نرم افزارRundll32.exe: Rundll32.exe یک ابزار قانونی ویندوز است که برای اجرای توابع در کتابخانه های پیوند پویا (DLL) استفاده می شود. مهاجمان می توانند از آن برای اجرای کدهای مخرب موجود در DLL استفاده کنند، اغلب بدون ایجاد فرآیند جدید.
  • نرم افزار Certutil.exe: Certutil یک ابزار ویندوزی است که برای مدیریت گواهی ها استفاده می شود. همچنین می تواند محتوای رمزگذاری شده با Base64 را رمزگشایی کند، که مهاجمان از آن برای دانلود و اجرای بارهای مخرب پنهان شده در فایل های رمزگذاری شده استفاده می کنند.
  • نرم افزار At.exe: Windows Task Scheduler (at.exe) می‌تواند برای برنامه‌ریزی کارهای مخرب و اجرای دستورات در زمان‌ها یا فواصل زمانی خاص مورد سوء استفاده قرار گیرد، و به مهاجمان اجازه می‌دهد تا پایداری خود را در یک سیستم در معرض خطر حفظ کنند.

شناسایی و کاهش حملات LOLBIN

تشخیص استفاده از LOLBIN می تواند چالش برانگیز باشد، زیرا این ابزارها برای ترکیب با محیط قانونی سیستم در نظر گرفته شده اند. با این حال، سازمان ها می توانند چندین استراتژی را برای ارتقای وضعیت امنیتی خود پیاده سازی کنند:

  • تجزیه و تحلیل مبتنی بر رفتار: راه حل های امنیتی باید به جای تکیه بر تشخیص مبتنی بر امضا، بر تشخیص رفتار غیرعادی یا مشکوک تمرکز کنند. فعالیت غیرعادی توسط باینری های شناخته شده می تواند نشانه ای از حمله LOLBIN باشد.
  • لیست برنامه های سفید : اجرای لیست سفید برنامه ها می تواند به محدود کردن اجرای باینری ها به منابع قابل اعتماد کمک کند و از اجرای کدهای مخرب توسط مهاجمان جلوگیری کند.
  • نظارت کاربر و نقطه پایانی: به طور مداوم بر فعالیت های کاربر و نقطه پایانی برای رفتار غیرعادی نظارت کنید. تجزیه و تحلیل رفتاری و تجزیه و تحلیل رفتار کاربر می تواند به شناسایی الگوهای فعالیت مشکوک کمک کند.
  • وصله منظم: به روز نگه داشتن سیستم ها با آخرین وصله های امنیتی می تواند برخی از حملات LOLBIN را کاهش دهد، زیرا مهاجمان اغلب از آسیب پذیری ها برای دستیابی به دسترسی سوء استفاده می کنند.
  • آموزش آگاهی از امنیت: آموزش کارمندان و کاربران در مورد خطرات مرتبط با LOLBIN ها و تاکتیک های مهندسی اجتماعی می تواند به جلوگیری از موفقیت حملات کمک کند.
  • تقسیم‌بندی شبکه: سیستم‌های حیاتی را از سیستم‌های کمتر بحرانی جدا کنید تا در صورت رخنه، گسترش حمله را محدود کنید.

نتیجه

نرم افزارهای Living Off the Land Binaries (LOLBIN) به دلیل توانایی آنها برای کار مخفیانه در سیستم عامل ویندوز به ابزاری برای مجرمان سایبری تبدیل شده است. این باینری ها و ابزارهای سیستم به ظاهر خوش خیم برای انجام فعالیت های مخرب در حالی که از شناسایی فرار می کنند استفاده می شود. با ادامه تکامل حملات سایبری، سازمان ها باید هوشیار بمانند، اقدامات امنیتی قوی را اجرا کنند و از تکنیک های تشخیص پیشرفته برای محافظت از سیستم های خود در برابر حملات مبتنی بر LOLBIN استفاده کنند. آگاهی از وجود و تهدیدات احتمالی ناشی از LOLBIN ها اولین گام برای دفاع در برابر این دشمنان پنهانکار در دنیای امنیت سایبری است.

سیستم عاملcyber securitysecurityامنیت اطلاعات
از طریق این وبلاگ، قصد دارم دانش و بینش خود را در مورد دنیای کامپیوتر و توسعه نرم افزار با شما به اشتراک بگذارم.
شاید از این پست‌ها خوشتان بیاید