Definition LOLBAS (Living Off The Land Binaries And Scripts) Was ist LOLBAS?

Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Das Kürzel LOLBAS steht für eine Methode, die auf einem Computer vorhandene Programme, beispielsweise Programme des Betriebssystems, für schädliche Funktionen oder für Malware missbräuchlich verwendet. Das LOLBAS-Projekt sammelt Informationen über nutzbare Binaries, Skripte oder Bibliotheken und stellt sie im Internet öffentlich zur Verfügung. Die Abwehr solcher Angriffen auf Rechnern kann sich als schwierig erweisen.

Firma zum Thema

Unter LOLBAS (Living Off The Land Binaries And Scripts) versteht man die missbräuchliche Nutzung vorhandener Programme für schädliche Aktionen. Das LOLBAS-Projekt sammelt Informationen über solche Angriffe.
Unter LOLBAS (Living Off The Land Binaries And Scripts) versteht man die missbräuchliche Nutzung vorhandener Programme für schädliche Aktionen. Das LOLBAS-Projekt sammelt Informationen über solche Angriffe.
(Bild: Adam Nadrowski)

LOLBAS ist die Abkürzung für „Living Off The Land Binaries And Scripts“ und steht für eine Angriffsmethode auf Rechner. „Living Off The Land“ heißt wörtlich übersetzt „sich aus der Natur ernähren“ und beschreibt die Methode recht gut. Bei den Living Off The Land Binaries And Scripts handelt es sich um ausführbare Dateien, Skripte oder Bibliotheken, die auf einem Rechner bereits vorhanden sind, vom Betriebssystem selbst bereitgestellt werden oder aus vertrauensvollen Quellen stammen. Sie lassen sich für bestimmte schädliche Funktionen missbrauchen. Malware-Code verwendet die „natürlich“ auf einem Rechner vorhandenen Ressourcen wie zum Beispiel von einem Anbieter oder vom Betriebssystem signierte Programme.

Der Begriff „Living Of The Land“ wurde von Christopher Campbell und Matt Graeber geprägt. Die schädlichen Aktivitäten bleiben aufgrund des LOL-Konzepts oft unentdeckt, da es sich bei den ausführenden Programmen um regulär vorinstallierte Systemwerkzeuge und Anwendungen handelt. Mit Living Off The Land Binaries And Scripts lassen sich beispielsweise unbemerkt Dateien downloaden, Programmcodes kompilieren, Dateioperationen ausführen oder Anmeldedaten stehlen. Auf Windows-Systemen werden beispielsweise gerne die powershell.exe oder die rundll32.exe missbräuchlich genutzt.

Im Internet existiert das von Oddvar Moe initiierte LOLBAS-Project. Es stellt Informationen über Binaries, Skripte und Libraries zur Verfügung, die beispielsweise im Rahmen von Penetration-Tests von einem Red-Team nutzbar sind. Ziel des Open-Source-Projekts ist es, alle Skripte, Binaries und Bibliotheken zu dokumentieren, die sich für die Living-Off-The-Land-Methode einsetzen lassen. Entsprechen bestimmte Binaries, Skripte oder Bibliotheken den Anforderungen des Projekts, werden die Informationen im Internet veröffentlicht. Es steht eine durchsuchbare Liste von LOLBins, LOLLibs und LOLScripts zur Verfügung. Erreichbar ist das Projekt über den Link https://lolbas-project.github.io.

Kriterien für LOLBAS-Skripte, -Bibliotheken und -Binaries

Um für das Projekt Living Off The Land Binaries And Scripts als relevant zu gelten, müssen die Skripte, Bibliotheken oder Binaries standardmäßig auf dem System vorhanden sein oder sich über vertrauenswürdigen Softwarehersteller oder Open-Source-Quellen installieren lassen. Darüber hinaus müssen sie unerwartete Funktionen bereitstellen, die sich für Angriffszwecke umfunktionieren lassen. Solche Funktionen sind beispielsweise:

  • das Ausführen von Programmcode oder Skripten
  • das Kompilieren von Programmcode
  • das Umgehen der Benutzerkontensteuerung
  • das Mitlesen von Netzwerkverkehr oder Anwenderaktivitäten
  • das Side-Loading oder Hijacking von DLLs
  • das Prozessspeicher-Dumping
  • das Auslesen von Anmeldedaten
  • Dateioperationen wie Datei-Downloads und -Uploads

Schutz vor LOLBAS-Angriffen

Der Schutz vor LOLBAS-Angriffen ist schwierig. Da es sich bei den ausführenden Programmen um betriebssysteminterne Tools oder Software aus vertrauenswürdigen Quellen handelt, bleiben die schädliche Aktionen von Standard-Antivirus- und -Antimalware-Programmen oft unerkannt. Zum Schutz sind spezielle Vorkehrungen zu treffen. Teilweise müssen diese vom Betriebssystem oder von den Softwareherstellern selbst implementiert werden. Darüber hinaus lassen sich fortgeschrittene, intelligente Schutzlösungen nutzen, die an verschiedenen Stellen des zu überwachenden Systems ansetzen. Beispielsweise werden der Netzverkehr und das Verhalten verschiedener Prozesse kontinuierlich überwacht, um Anomalien zu identifizieren.

(ID:47067095)

Über den Autor