15. LOLBAS (Living Off The Land Binaries, Scripts and Libraries)
본 글에서는 예전에 정리했던 LOTL(Living Off The Land)와 관련되어 LOLBAS(Living Off The Land Binaries, Scripts and Libraries)도 정리한다.
https://p3ngdump.tistory.com/136
11. LOTL (Living Off The Land)
최근 악성코드 유포나 위협 공격 등에 LOTL (Living Off The Land) 라는 개념이 자주 사용된다. 해당 개념은 "정상적인 파일/도구를 이용한 악성 행위 수행"을 의미한다. 예를 들어, 정상적인 윈도우 실
p3ngdump.tistory.com
LOTL은 정상적인 파일 또는 도구를 사용해 악성 행위를 수행하는 기법을 말한다. 즉, regsvr.exe 와 같은 정상적인 windows 프로그램에 메모리 인젝션, 코드 인젝션 등을 통해 악성코드를 주입해 악성 행위를 수행하는 것을 말한다.
이와 관련해, LOLBAS 프로젝트가 등장했다. LOLBAS 프로젝트는 LOTL에 사용되는 바이너리, 스크립트, 라이브러리를 정리하고 있다.
https://lolbas-project.github.io/
LOLBAS
lolbas-project.github.io
또한, API로도 목록을 제공하고 있어 주기적으로 API를 통해 LOLBAS 데이터를 받아 사용할 수 있다. (JSON, CSV로 제공)
https://lolbas-project.github.io/api/
APIs | LOLBAS
.. /APIs Currently, data from the LOLBAS Project can be accessed in the following ways: JSON Entry point: /api/lolbas.json Type: Single file This file contains every LOLBAS entry in a single file, using the same structure as the underlying YAML files. CSV
lolbas-project.github.io
등록된 LOLBAS들에 대한 MITRE ATT&CK도 제공한다. 아래는 LOLBAS들에 대한 MITRE ATT&CK이며 LOTL을 탐지하는데 도움이 될 수 있을 것으로 보인다.
LOTS와 비슷하게 관리되고 있는 것으로 보여지며 업데이트되는 LOLBAS를 주기적으로 모니터링 할 필요가 있어보인다.