Comment utiliser les lolbins pour tromper les antivirus et EDR ?

Ces fichiers légitimes appelés « lolbins » sont présentés dans cet article. Des exemples d’utilisation ainsi que le malware Astaroth, connu pour être parmi l’un des tous premiers à abuser de ce type de fichiers sont également détaillés.

La plupart de ces fichiers sont numériquement signés par Microsoft ou un éditeur de logiciels de confiance et donc considérés comme légitimes. Ainsi en détournant ces fichiers légitimes, un attaquant est à même de contourner les mesures de protection mises en place par certains antivirus/EDR. De plus, baser son attaque sur l’utilisation de ces fichiers légitimes permet de minimiser la taille finale du malware qui est envoyé par un attaquant, ce qui participe à la furtivité de l’attaque.

Enfin, dans cet article des solutions de détection ainsi que des recommandations sont proposées pour se prémunir efficacement face à ce type d’attaque.

Voici un court extrait de l’article :

« Les antivirus et EDR (Endpoint Detection and Response) utilisent de plus en plus les avantages du cloud pour se partager des indicateurs de malveillance sur les fichiers qui sont déposés sur les postes de leurs clients. Si tous les segments d’un fichier disposent d’une bonne réputation, alors ce fichier obtiendra un faible score de malveillance de la part des antivirus et EDR. En revanche, si le fichier est inconnu, il sera analysé plus en profondeur par les solutions de sécurité. Pour éviter d’embarquer directement leur propre charge malveillante, les attaquants tentent de contrer cette nouvelle méthode d’analyse à l’aide du cloud, en basant leurs attaques sur les lolbas (Living Off The Land Binaries and Scripts (and also Libraries)). »

Pour lire l’article dans son intégralité, cliquez ici [réservé aux abonnés MISC].