Хит-парад LolBins

Компоненты операционной системы, наиболее часто используемые злоумышленниками в атаках.

Киберпреступники достаточно давно применяют тактику Living off the Land, подразумевающую использование легитимных программ и компонентов операционной системы для атак на пользователей Microsoft Windows. Этим они пытаются решить сразу несколько задач.

  • Снизить затраты на разработку вредоносного инструментария.
  • Минимизировать след, оставляемый в операционной системе.
  • Замаскировать свою активность под легитимную работу IT-персонала.

Иными словами, основная их цель — затруднить обнаружение вредоносной деятельности. Поэтому эксперты по безопасности давно следят за активностью потенциально небезопасных исполняемых файлов, скриптов и библиотек и даже ведут своего рода реестр таких инструментов на странице проекта LOLBAS на GitHub.

Наши коллеги, отвечающие за сервис Managed Detection and Response, защищают множество компаний из самых разных сфер бизнеса и часто видят применение этой тактики в реальных атаках. В рамках подготовки отчета Managed Detection and Response: Analyst report они решили посмотреть, какие именно системные компоненты наиболее часто применяются в атаках против современного бизнеса. Вот что они выяснили.

Первое место — PowerShell

PowerShell — программный движок и скриптовый язык с интерфейсом командной строки. Он ожидаемо является наиболее часто используемым злоумышленниками легитимным инструментом, несмотря на все попытки Microsoft сделать его более безопасным и контролируемым. PowerShell пытались эксплуатировать в 3,3% всех инцидентов, выявленных нашим сервисом MDR. При этом если посмотреть только на критические инциденты, то видно, что PowerShell засветился в каждом пятом из них (точнее — в 20,3%).

Второе место — rundll32.exe

Второй по частоте использования злоумышленниками — хост-процесс rundll32, который служит для запуска кода из динамически подключаемых библиотек (DLL). Он был задействован в 2% от всех и в 5,1% критических инцидентов.

Третье место — несколько утилит

В 1,9% от всех инцидентов были задействованы пять инструментов.

  • te.exe — часть фреймворка автотестирования Test Authoring and Execution Framework
  • PsExec.exe — инструмент, позволяющий запускать процессы на удаленных системах.
  • CertUtil.exe — инструмент для работы с информацией от центров сертификации.
  • Reg.exe — файл Microsoft Registry Console Tool, позволяющий из командной строки менять и добавлять ключи в системный реестр.
  • wscript.exe — сервер сценариев Windows, предназначенный для запуска сценариев на скриптовых языках.

Эти пять исполняемых файлов применялись злоумышленниками в 7,2% критических инцидентов.

Кроме того, эксперты Kaspersky Managed Detection and Response наблюдали применение msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe и shell32.exe.

Ознакомиться с другими результатами исследования Managed Detection and Response: Analyst report можно вот здесь.

Советы