Networkforensic
Threat hunting
LOLBAS
18 November 2023 - Blog Post # 858
Living Off The Land Binaries,
Scripts and Libraries
Efterhånden ser man flere og flere sikkerheds repporter hvor det
bliver beskrevet at teknikker son
LOLBAS
har været brugt i forbindelse med kompromittering af Windows
Systemer og netværk.
LOLBAS
er et projekt der startede helt tilbage i 2016 og det har
efterhånden vokset en del. LOLBAS er helt almindelige applikationer
i Windows Systemer kan udnyttes disse til at udføre ting som de
måske ikke var helt beregnet til. Det kan være Download af filer,
Copy af filer, Alternate data streams, Execute, Compile af ondsindet
file mm. Alle bruges de til at undgå at blive opdaget på systemer
eller omgåelse af sikkerheds funktioner, sågar remote hidden logging
af hvad en bruger laver på en dekstop / server med mulig brug af
keyboard. Med andre ord, en hacker behøver ikke at bruge malware,
Trojans mm for at kunne bevæge sig rundt, det hele er allerede
indbygget i Windows. Det er her LOLBAS bliver udnyttet ret vildt
efterhånden. Der findes udover LOLBAS også LOLdrivers, men det er en
anden historie, men nem at overvåge med Sysmon.
Logs til SIEM
Mange er fokuceret på at hente Microsoft Eventlogs ind i eks SIEM
systemer til behandling, og det kan man også komme langt med, MEN
man får typisk ingen fokus på teknikker som LOLBAS til at opdage en
nogen muligt benytter disse teknikker. Det er også her at man skal
uddanne SOC personale så de kender disse teknikker.
Sysmon for the win
Jeg har igennem de sidste 5-6 år skrevet en del Sysmon config filer.
Her har jeg ikke selv tidligerer haft den fokus på LOLBAS som jeg
har haft i den seneste tid. Det har jeg nu lavet helt om på i min
seneste Sysmon Config fil til Sysmon 15.11. Jeg har lavet næsten
komplet detection for alle kendte LOLBAS teknikker. Det har også
betydet at jeg har omskrevet næsten hele min Sysmon config fil. Pt
er der detection muligheder for alle LOLBAS Binaries. Hvilket er ret
stort i min optik for ingen andre har det. Tror ikke mange er klar
hvor mange test timer der ligger i dette arbejde, da alle Detections
skal valideres. Men det er nu gjort og det hele må siges at virke
smukt.
Sysmon config filer
Der findes mange Sysmon config filer man kan hente rundt omkring på
Internettet, men ingen af dem har alle LOLBAS teknikker som her. Det
var faktisk årsagen til jeg gik igang med denne omskrivning og
selvfølgelig også for at kunne opdage hvis nogen udnytter disse
teknikker. Udfordringen er jo at med Sysmon skal man selv kunne
skrive detections til eks Splunk, Elastic mm der giver en de
rigtiget Alerts. Man skal eks også have en stort kendskab til
Windows Systemer, ellers ved man reaelt ikke hvorfor en LOLBAS
teknik kan være kritisk.
Log counts
I forbindelse med denne omskrivning har jeg har stor fokus på hvor
mange logs der skal opsamles og behandles. Alle logs sendt til et
SIEM system koster penge at sende og behandle. Mange af de gratis
Sysmon Config filer man kan finde derude, må siges at have et meget
lille fokus på den del. Min omskrivning af Sysmon har haft meget
fokus på kun at opsamle de aller mest nødvendige ting, dog uden at
gå på kompromis med at ikke være for snæver så nye attacks ikke kan
opdages. Men bare det at skriver koden bedre på log opsamlinger og
udnytte det Sysmon rent faktisk giver mulighed for, er virkelig en
kæmpe besparelse på log opsamlings budgettet. Pt ligger almindelig
best pratice på Windows Event log opsamling ca 10-20 gange højere
end Sysmon log opsamling. Det svinger reaelt lidt derimellem.
Hvilket jeg syntes er et udemærket resultat pt. Selvom der er
tilføjet så mange LOLBAS teknikker som der i denne Config er. LOLBAS
teknikker er jo ikke forventet at støje helt vildt (Helst ikke) Dem
der endelig sender mere end andet er nemme at tune på i et SIEM
system.
Happy hunting...
SNORT
NF IDS Rules
10 Latest Updates
BitCoin Miner
c3pool
BitCoin Miner xmrig
Win32/Znyonm
MQTT Bruteforce
MQTT Clear TXT
MQTT Mustang Panda
Trojan Formbook
Zyxel ZyWALL
PikaBot Trojan
Reverse Shell Without TTY
Download
Suricata
NF IDS Rules
10 Latest Updates
BIMP-BotNet
Remcos-RAT
IOT-Password Attacks
Download