LOLBins (Living Off the Land Binaries) - это собирательное название для легитимных, изначально не вредоносных исполняемых файлов, которые входят в состав штатной установки операционной системы или могут быть загружены непосредственно от её производителя (например, с сайта Microsoft). Киберпреступники и организованные группы злоумышленников научились использовать их не по прямому назначению, превращая в инструмент для скрытного проведения атак. Сама идея заключается в том, чтобы «жить за счёт земли» - то есть применять то, что уже есть в системе, не привнося извне собственных вредоносных программ. Как правило, такие файлы снабжены действительной цифровой подписью Microsoft и встроены в повседневные корпоративные процессы, что позволяет злоумышленникам маскировать свои действия под легитимную административную активность.
Термин родился в ходе неформального обсуждения: участники искали ёмкое название для двоичных файлов, которые способны выполнять недокументированные или «неожиданные» функции, выходящие далеко за рамки первоначального замысла разработчиков. В итоге Филип Го предложил аббревиатуру LOLBins, и после шутливого интернет-голосования (где вариант набрал 69 % голосов) она была официально закреплена. Позднее к понятию добавились LOLScripts (скрипты) и LOLLibs (библиотеки), что привело к появлению более общего зонтичного термина LOLBAS (Living Off the Land Binaries And Scripts).
Ключевое отличие LOLBins от традиционного вредоносного ПО состоит в том, что они не содержат в себе зловредного кода. Это обычные утилиты, предназначенные для диагностики, администрирования или обслуживания системы. Злоумышленники же эксплуатируют их «дополнительные», часто неочевидные возможности: например, способность загружать файлы, компилировать код, запускать другие программы или обходить средства контроля учётных записей (UAC). Именно поэтому на LOLBins приходится значительная доля современных атак - согласно отчёту Red Canary за 2022 год, 35 процентов всех вредоносных и подозрительных событий, выявленных компанией, были связаны с их использованием.
Спектр злоупотреблений чрезвычайно широк. Эти системные утилиты применяются буквально на каждом этапе атаки: от первоначального выполнения кода и закрепления в системе до горизонтального перемещения по сети, повышения привилегий и кражи учётных данных. Например, группа TA505 доставляла свой троян GraceWire через фишинговые письма с вредоносным Excel-файлом, который выполнял макрос, а тот, в свою очередь, запускал msiexec.exe для связи с командным центром и загрузки основной полезной нагрузки. А группа Lazarus использовала wuauclt.exe для скрытой подгрузки вредоносных DLL-библиотек. Среди наиболее часто эксплуатируемых двоичных файлов исследователи из CrowdStrike выделяют Rundll32, Regsvr32, Msiexec, Mshta, Certutil, MSBuild, WMIC и WmiPrvSe - каждый из них способен предоставить злоумышленнику широкие возможности для злонамеренных действий.
Главная опасность LOLBins кроется в их «невидимости» для классических средств защиты. Антивирусные продукты, полагающиеся на сигнатурный анализ, не видят в запуске легитимно подписанного файла ничего подозрительного. Более того, поскольку эти утилиты регулярно используются системными администраторами в повседневной работе, отличить нормальную активность от вредоносной становится крайне сложно - злоумышленник буквально «прячется в тени легитимного администрирования». Ситуацию усугубляет возможность проведения полностью бесфайловых атак, когда вредоносный код выполняется исключительно в оперативной памяти, не оставляя следов на диске.
Для эффективного противодействия LOLBins необходим переход от статического анализа файлов к поведенческому мониторингу. Современные EDR и XDR-платформы анализируют контекст запуска: нетипичные родительские процессы, подозрительные аргументы командной строки, нехарактерные сетевые соединения и другие аномалии, позволяющие выявить злоупотребление легитимным инструментарием. Документированием всех известных двоичных файлов, скриптов и библиотек, которые могут быть использованы в атаках подобного рода, занимается открытый проект LOLBAS, чья постоянно пополняемая база данных служит ценным источником информации как для защитников, так и для пентестеров.
Таким образом, LOLBins представляют собой не просто набор безобидных системных утилит, а фундаментальный вызов для всей современной парадигмы кибербезопасности. Их существование наглядно демонстрирует, что даже абсолютно легитимные и доверенные компоненты операционной системы могут быть обращены против неё самой, а успешная защита требует не столько блокировки известных угроз, сколько глубокого понимания нормального поведения ИТ-инфраструктуры и умения выявлять в ней малейшие отклонения.
