LOLBins

Fonctionnement technique

Les LOLBins (Living Off The Land Binaries) sont des exécutables légitimes présents nativement dans les systèmes d'exploitation Windows et Linux, détournés par les attaquants pour réaliser des actions malveillantes sans déployer d'outils supplémentaires. Cette technique exploite la confiance accordée par les solutions de sécurité aux binaires signés par Microsoft ou les éditeurs OS.

Sous Windows, des dizaines de binaires peuvent être détournés. certutil.exe télécharge des fichiers depuis Internet et décode du Base64. mshta.exe exécute des scripts VBScript/JScript via des fichiers HTA. rundll32.exe charge et exécute des DLL arbitraires. regsvr32.exe peut exécuter des scriptlets COM distants. bitsadmin.exe transfère des fichiers en arrière-plan via le service BITS.

Sous Linux, les LOLBins incluent curl/wget pour le téléchargement, python/perl pour l'exécution de code, openssl pour le chiffrement de données et les reverse shells, et crontab pour la persistance. Le projet GTFO Bins (GTFOBins) référence exhaustivement ces techniques pour Unix/Linux.

Cas d'usage

Les attaquants utilisent les LOLBins à plusieurs étapes de la kill chain. En phase d'accès initial, un document Office malveillant invoque mshta.exe pour exécuter un payload HTA. Pour le téléchargement de l'implant, certutil -urlcache -split -f récupère le malware depuis un serveur C2. Pour la persistance, une tâche planifiée via schtasks.exe assure le redémarrage automatique.

Le groupe APT29 est connu pour son utilisation intensive des LOLBins, combinant rundll32.exe, msiexec.exe et PowerShell pour opérer entièrement avec des outils légitimes. Cette approche rend la détection particulièrement difficile car bloquer ces binaires impacterait le fonctionnement normal du système.

Outils et implémentation

Le projet LOLBAS (Living Off The Land Binaries, Scripts and Libraries) maintient un catalogue complet des binaires Windows exploitables, avec les commandes et les cas d'usage documentés. GTFOBins est l'équivalent pour Linux/Unix, référençant les élévations de privilèges et les évasions via des binaires standards.

Pour la détection, Sysmon avec une configuration appropriée enregistre les exécutions de processus avec les lignes de commande complètes. Sigma propose des règles de détection prédéfinies pour les LOLBins les plus courants. YARA peut identifier les documents malveillants qui invoquent des LOLBins, et Velociraptor permet la chasse aux artefacts LOLBins sur l'ensemble du parc.

Défense / Bonnes pratiques

La défense contre les LOLBins nécessite une approche basée sur la détection comportementale plutôt que le blocage, car ces binaires sont nécessaires au fonctionnement du système. Déployez Sysmon avec une configuration enrichie (événements 1, 3, 7, 10, 11) pour capturer les exécutions de processus, les connexions réseau et les chargements de DLL.

Créez des règles de détection basées sur les anomalies d'utilisation : certutil.exe établissant des connexions réseau, mshta.exe lancé depuis un processus Office, regsvr32.exe chargeant des scriptlets distants. Utilisez AppLocker ou Windows Defender Application Control (WDAC) pour restreindre l'exécution des LOLBins les plus dangereux dans les contextes où ils ne sont pas nécessaires.

Implémentez le Constrained Language Mode de PowerShell pour limiter les capacités des scripts non signés. Surveillez les chaînes de processus inhabituelles (process ancestry) : un processus Word engendrant cmd.exe qui lance certutil.exe est un indicateur fort de compromission.

Articles associés

Voir nos articles détaillés sur ce sujet.