LOLBAS (Living Off the Land Binaries And Scripts) - это открытый проект и одновременно зонтичный термин для обозначения легитимных, как правило, подписанных Microsoft или иными доверенными производителями исполняемых файлов, скриптов и библиотек, которые изначально входят в состав операционной системы Windows либо могут быть загружены из официальных источников. Сами по себе эти компоненты не являются вредоносными, однако обладают дополнительной, часто недокументированной и неожиданной функциональностью, позволяющей злоумышленникам применять их не по прямому назначению для проведения скрытных атак на всех стадиях вторжения — от первоначального закрепления и выполнения кода до горизонтального перемещения по сети, повышения привилегий, кражи учётных данных и заметания следов.
Термин LOLBAS объединяет три ранее возникшие категории: LOLBins (двоичные исполняемые файлы), LOLScripts (интерпретируемые скрипты на PowerShell, VBScript, JavaScript и других языках) и LOLLibs (библиотеки динамической компоновки DLL), каждая из которых представляет собой особый класс инструментов «жизни за счёт земли», а сам проект служит централизованным каталогом, призванным документировать все известные на сегодняшний день легитимные файлы, пригодные для злоупотребления в кибератаках.
История LOLBAS начинается с появления самого подхода «Living Off the Land», который был сформулирован исследователями Кристофером Кэмпбеллом и Мэттом Грейбером на конференции DerbyCon 3. Они обратили внимание на то, что злоумышленники всё чаще отказываются от доставки собственных вредоносных инструментов в пользу использования штатных средств, уже присутствующих на целевом компьютере, и такое поведение делает атаки гораздо более скрытными. В 2018 году в ходе обсуждения в Твиттере Филип Го предложил ёмкую аббревиатуру LOLBins для обозначения двоичных файлов, способных выполнять действия, выходящие за рамки их первоначального предназначения. Проведённый тогда же шуточный, но весьма показательный интернет-опрос зафиксировал поддержку термина на уровне 69 процентов, после чего название было официально закреплено. Вскоре исследователь под псевдонимом bohops ввёл в оборот термин LOLScripts, расширив классификацию на скриптовые языки, а позднее были выделены и LOLLibs. Так сформировалась триада, для которой потребовалось общее имя, и им стало LOLBAS — Living Off the Land Binaries And Scripts, причём под «Scripts» здесь понимаются также и библиотеки.
Центральным элементом всей концепции является сам открытый проект LOLBAS, инициированный Оддваром Моэ и поддерживаемый сообществом исследователей безопасности. Его главная цель заключается в том, чтобы задокументировать каждый двоичный файл, каждый скрипт и каждую библиотеку, которые могут быть использованы для реализации техник «Living Off the Land». Документация ведётся в формате YAML-файлов, а наглядный веб-интерфейс, размещённый по адресу lolbas-project.github.io, предоставляет удобный поиск по командам, функциям и соответствующим техникам MITRE ATT&CK. Проект имеет чётко сформулированные критерии включения: файл должен быть подписан Microsoft или иным доверенным производителем, либо являться нативным компонентом операционной системы, либо распространяться через официальные каналы; при этом он обязан обладать «неожиданной» функциональностью, которая может быть полезна злоумышленнику или красной команде — простое документирование предусмотренного разработчиками применения не представляет интереса. Исключение делается лишь для тех файлов, которые способны обходить механизмы Application Whitelisting, даже если их дополнительная функциональность минимальна.
Спектр возможностей, которые могут предоставлять LOLBAS, чрезвычайно широк и покрывает практически все тактики из матрицы MITRE ATT&CK. К ним относятся выполнение произвольного кода и передача выполнения другим неподписанным программам или скриптам, компиляция кода, разнообразные файловые операции — загрузка, выгрузка, копирование, обеспечение персистентности через автозагрузку при входе в систему или сокрытие данных в альтернативных потоках файловой системы ADS, обход контроля учётных записей (UAC), кража учётных данных и дамп памяти процессов, скрытое наблюдение — кейлоггинг и перехват сетевого трафика, модификация или удаление записей в журналах событий, а также боковая загрузка DLL (DLL Side-Loading) без перемещения библиотеки в другое место файловой системы. Именно эта универсальность делает LOLBAS настолько привлекательными для злоумышленников: один и тот же легитимный инструмент может быть задействован на нескольких фазах атаки.
Главная опасность LOLBAS заключается в том, что они по определению являются доверенными компонентами системы и не содержат вредоносного кода. Антивирусные средства, полагающиеся на сигнатурный анализ, не расценивают запуск подписанного Microsoft файла как нечто подозрительное, а системные администраторы и сами регулярно используют эти же утилиты в повседневной работе, так что отличить нормальную деятельность от вредоносной становится исключительно сложно. Более того, скриптовая составляющая LOLBAS позволяет реализовывать полностью бесфайловые атаки, при которых код выполняется в оперативной памяти и не оставляет артефактов на диске. По данным отчёта Red Canary за 2022 год, около 35 процентов всех зафиксированных вредоносных и подозрительных событий были связаны с применением LOLBins, что говорит о повсеместном распространении этой техники в реальных кампаниях.
Эффективное противодействие угрозам, связанным с LOLBAS, требует перехода от статического анализа файлов к глубокому поведенческому мониторингу. Современные решения класса EDR и XDR анализируют контекст запуска: аномальные родительские процессы, нестандартные аргументы командной строки, подозрительные сетевые соединения, нехарактерные для конкретного процесса загрузки библиотек. Именно такой подход позволяет выявлять злоупотребления легитимными инструментами, не нарушая нормальной работы системы. Параллельно с этим проект LOLBAS продолжает расширяться усилиями сообщества: каждый новый обнаруженный файл проходит проверку на соответствие критериям и после подтверждения публикуется в каталоге, где специалисты по кибербезопасности могут использовать эти данные для создания детектирующих правил и совершенствования стратегий защиты. Таким образом, LOLBAS представляет собой не просто набор безобидных утилит, а фундаментальный вызов для всей современной парадигмы безопасности, демонстрирующий, что даже самые доверенные компоненты операционной системы могут быть обращены против неё самой.
