LOLBins fenyegetése
A LOLBins (Living off the Land Binaries) kifejezés olyan natív rendszer-végrehajtható fájlokat jelöl, amelyek alapértelmezés szerint jelen vannak az operációs rendszerekben, például a Windows, macOS és Linux rendszerekben. Ezeket a fájlokat eredetileg rendszergazdai feladatok, rendszerdiagnosztika vagy szoftvertelepítések céljából tervezték. Azonban a kiberbűnözők kihasználhatják ezeket a legitim eszközöket rosszindulatú tevékenységek végrehajtására, mivel az operációs rendszer megbízik bennük, így gyakran képesek megkerülni a hagyományos biztonsági intézkedéseket, például a vírusirtó szoftvereket és az alkalmazás-fehérlistázást.
Az Emsisoft blogja szerint a LOLBins koncepcióját legegyszerűbben úgy lehet elképzelni, mintha egy betörő egy tartalék kulcsot használna az ablak betörése helyett, hogy bejusson egy házba. A kulcs eredetileg a ház tulajdonosáé, így a riasztórendszer nem érzékel semmi gyanúsat, mivel minden rendben lévőnek tűnik. Ugyanezt a módszert alkalmazzák a kiberbűnözők, amikor nem új, külső eszközöket használnak támadásaikhoz, hanem a rendszer beépített, legitim eszközeit (LOLBins), így a biztonsági rendszerek gyakran nem észlelik a fenyegetést.
A támadók kihasználják, hogy az operációs rendszerek alapértelmezett végrehajtható fájljai megbízhatóak és rendszeresen használt eszközök. Így ezek futtatása nem vált ki azonnali figyelmeztetést vagy blokkolást a vírusirtók és más biztonsági megoldások részéről. A Windows, macOS és Linux rendszereken is található számos ilyen natív bináris, amelyeket eredetileg rendszergazdai és karbantartási feladatokhoz fejlesztettek ki, ám a támadók kihasználják azokat rosszindulatú műveleteik során.
A LOLBins előnye a támadók számára az, hogy ezek az eszközök már a rendszer részét képezik, így nem kell új, gyanús programokat telepíteniük, és tevékenységük rejtve maradhat a hagyományos észlelési mechanizmusok előtt. Mivel ezek a fájlok gyakran digitálisan aláírtak és rendszergazdai eszközökként elfogadottak, nehéz megkülönböztetni a legitim és a rosszindulatú használatot.
A védekezés érdekében a szervezeteknek és a biztonsági szakembereknek monitorozniuk kell a rendszerfolyamatokat és a hálózati aktivitást, valamint figyelni a szokatlan viselkedési mintázatokat. Mivel a hagyományos víruskeresők nem mindig képesek az ilyen jellegű támadásokat észlelni, viselkedéselemző biztonsági megoldások és alkalmazásellenőrző rendszerek (pl. Application Whitelisting) alkalmazása is szükséges lehet.
Az Emsisoft blogja ismerteti a leggyakrabban használt Living off the Land eszközöket Mac, Linux és Windows rendszereken és javaslatokat is megfogalmaz az azonosításra és a kockázatok csökkentésére.
