Uppdateringar till LOLBAS
LOLBAS-projektet (tidigare LOLBIN) har fått en mängd uppdateringar. LOLBAS står för Living Off The Land Binaries and Scripts, men inkluderar nu även bibliotek. Kriteriet för att räknas som en LOLBAS är att binären ska vara signerad av Microsoft samt ingår i operativsystemet Windows eller kan ladda hem från Microsoft.
Även ska binären inneha funktioner som ska vara användbar vid ett penetrationstest, red-teaming eller liknande. Detta kan vara nedladdning av filer, exekvering av godtycklig kod, kopiera fil, dumpa minne, UAC bypass eller liknande.
Nya uppdateringar innehåller följande binärer:
Aspnet_Compiler.exe, Certoc.exe, Cmdl32.exe, FltMC.exe, IMEWDBLD.exe, OfflineScannerShell.exe, OneDriveStandaloneUpdater.exe, PrintBrm.exe, SettingSyncHost.exe, Stordiag.exe, WorkFolders.exe, Procdump.exe
För att se samtliga binärer kan du surfa till: https://lolbas-project.github.io/ och projektet finns även på Github där du kan se ytterligare information. Ta exempelvis FltMC.exe där följande commit finns som beskriver binären och dess funktion som gör att den kan stänga av Sysmon:
---
Name: fltMC.exe
Description: Filter Manager Control Program used by Windows
Author: 'John Lambert'
Created: '2021-09-18'
Commands:
- Command: fltMC.exe unload SysmonDrv
Description: Unloads a driver used by security agents
Usecase: Defense evasion
Category: ADS
Privileges: Admin
MitreID: T1562
MitreLink: https://attack.mitre.org/techniques/T1562/002/
OperatingSystem: Windows vista, Windows 7, Windows 8, Windows 8.1, Windows 10
Full_Path:
- Path: C:\Windows\System32\fltMC.exe
Code_Sample:
- Code:
Detection:
- IOC: 4688 events with fltMC.exe
Resources:
- Link: https://www.darkoperator.com/blog/2018/10/5/operating-offensively-against-sysmon
Acknowledgement:
- Person: Carlos Perez
Handle: '@Carlos_Perez'
---
