ブログ - LoLBin
攻撃者の手口として,自分の思い通りに動くツールを送り込む事も多いけれど,現在はシグネチャで意図してないファイルがあるとつまみ出される.そして逆にOSの進化によって便利ツールが多くデフォルトで入っている現状がある.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.
LoLBin,Living Of the Land Binary(環境寄生)という戦術がある.シスコのTalosという脅威を研究している人たちのブログ.
Cisco Japan Blog
https://gblogs.cisco.com/jp/2019/11/talos-hunting-for-lolbins/
ここで上がっているコマンド.
・powershell.exe
・bitsadmin.exe
・certutil.exe
・psexec.exe
・wmic.exe
・mshta.exe
・mofcomp.exe
・cmstp.exe
・windbg.exe
・cdb.exe
・msbuild.exe
・csc.exe
・regsvr32.exe
昔からあるものもあれば,身に覚えのないものもある.powershell.exeやwmic.exeなどはスクリプト攻撃のベースになるものだけれど,csc.exeC#のコンパイラだったりして,これは.NET Frameworkに付いている.cdb.exeはデバッガだしそういうものが入っているというだけで,悪いことできそうな感じがするなぁ.
まずは,そういうものが本当に必要なのかどうか,いらなければ消す,そして実行を監視する仕組みを作るというのが大事でしょうね.