Networkforensic

Threat hunting

LOLBAS

 18 November 2023  - Blog Post # 858

Living Off The Land Binaries, Scripts and Libraries
Efterhånden ser man flere og flere sikkerheds repporter hvor det bliver beskrevet at teknikker son LOLBAS har været brugt i forbindelse med kompromittering af Windows Systemer og netværk.

LOLBAS er et projekt der startede helt tilbage i 2016 og det har efterhånden vokset en del. LOLBAS er helt almindelige applikationer i Windows Systemer kan udnyttes disse til at udføre ting som de måske ikke var helt beregnet til. Det kan være Download af filer, Copy af filer, Alternate data streams, Execute, Compile af ondsindet file mm. Alle bruges de til at undgå at blive opdaget på systemer eller omgåelse af sikkerheds funktioner, sågar remote hidden logging af hvad en bruger laver på en dekstop / server med mulig brug af keyboard. Med andre ord, en hacker behøver ikke at bruge malware, Trojans mm for at kunne bevæge sig rundt, det hele er allerede indbygget i Windows. Det er her LOLBAS bliver udnyttet ret vildt efterhånden. Der findes udover LOLBAS også LOLdrivers, men det er en anden historie, men nem at overvåge med Sysmon.





Logs til SIEM
Mange er fokuceret på at hente Microsoft Eventlogs ind i eks SIEM systemer til behandling, og det kan man også komme langt med, MEN man får typisk ingen fokus på teknikker som LOLBAS til at opdage en nogen muligt benytter disse teknikker. Det er også her at man skal uddanne SOC personale så de kender disse teknikker.

Sysmon for the win
Jeg har igennem de sidste 5-6 år skrevet en del Sysmon config filer. Her har jeg ikke selv tidligerer haft den fokus på LOLBAS som jeg har haft i den seneste tid. Det har jeg nu lavet helt om på i min seneste Sysmon Config fil til Sysmon 15.11. Jeg har lavet næsten komplet detection for alle kendte LOLBAS teknikker. Det har også betydet at jeg har omskrevet næsten hele min Sysmon config fil. Pt er der detection muligheder for alle LOLBAS Binaries. Hvilket er ret stort i min optik for ingen andre har det. Tror ikke mange er klar hvor mange test timer der ligger i dette arbejde, da alle Detections skal valideres. Men det er nu gjort og det hele må siges at virke smukt.

Sysmon config filer
Der findes mange Sysmon config filer man kan hente rundt omkring på Internettet, men ingen af dem har alle LOLBAS teknikker som her. Det var faktisk årsagen til jeg gik igang med denne omskrivning og selvfølgelig også for at kunne opdage hvis nogen udnytter disse teknikker. Udfordringen er jo at med Sysmon skal man selv kunne skrive detections til eks Splunk, Elastic mm der giver en de rigtiget Alerts. Man skal eks også have en stort kendskab til Windows Systemer, ellers ved man reaelt ikke hvorfor en LOLBAS teknik kan være kritisk.

Log counts
I forbindelse med denne omskrivning har jeg har stor fokus på hvor mange logs der skal opsamles og behandles. Alle logs sendt til et SIEM system koster penge at sende og behandle. Mange af de gratis Sysmon Config filer man kan finde derude, må siges at have et meget lille fokus på den del. Min omskrivning af Sysmon har haft meget fokus på kun at opsamle de aller mest nødvendige ting, dog uden at gå på kompromis med at ikke være for snæver så nye attacks ikke kan opdages. Men bare det at skriver koden bedre på log opsamlinger og udnytte det Sysmon rent faktisk giver mulighed for, er virkelig en kæmpe besparelse på log opsamlings budgettet. Pt ligger almindelig best pratice på Windows Event log opsamling ca 10-20 gange højere end Sysmon log opsamling. Det svinger reaelt lidt derimellem. Hvilket jeg syntes er et udemærket resultat pt. Selvom der er tilføjet så mange LOLBAS teknikker som der i denne Config er. LOLBAS teknikker er jo ikke forventet at støje helt vildt (Helst ikke) Dem der endelig sender mere end andet er nemme at tune på i et SIEM system.

Happy hunting... 

 SNORT
NF IDS Rules

10 Latest Updates

BitCoin Miner c3pool

BitCoin Miner xmrig

Win32/Znyonm

MQTT Bruteforce

MQTT Clear TXT

MQTT Mustang Panda

Trojan Formbook

Zyxel ZyWALL

PikaBot Trojan

Reverse Shell Without TTY

Download   
 

 Suricata
NF IDS Rules

10 Latest Updates

BIMP-BotNet

Remcos-RAT

IOT-Password Attacks
 

Download