Статья Living off the Land атаки Windows: полное руководство по LOLBAS, обходу EDR и пост-эксплуатации без сторонних инструментов

Ваш EDR не сработал. Антивирус молчит. На диск не упал ни один подозрительный файл - а атакующий уже дампит LSASS и двигается по сети, используя исключительно бинарники, которые Microsoft поставляет с каждой копией Windows. По данным CrowdStrike Global Threat Report 2025, 79% обнаружений CrowdStrike в 2024 году были malware-free - валидные учётки, RMM-инструменты и LOTL-техники. В 2019-м было 40%. Bitdefender по 700 000 инцидентов даёт похожую картину: 84% высокоприоритетных атак задействуют Living off the Land. Ваши штатные certutil, mshta, rundll32 - это не просто инструменты администратора. Это арсенал, который уже работает против вас.

Эта статья - хаб, с которого можно попасть в любую точку темы: от конкретных команд пост-эксплуатации до обхода AMSI и закрепления через COM-hijacking.

Карта темы: навигация по кластеру​

#	Подтема	Подробный разбор
1	Справочник LOLBins-команд для каждого этапа kill chain	LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов
2	Перемещение по сети через WMI, PSRemoting, DCOM	Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике
3	Повышение привилегий через мисконфигурации и токены	Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике
4	Свежие LPE-уязвимости из Patch Tuesday 2026	Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации
5	Обход Defender, AMSI и техники defense evasion	Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team
6	Механизмы закрепления: реестр, планировщик, WMI, COM	Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team
7	Обход EDR через уязвимые драйверы (BYOVD)	BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году

Что такое Living off the Land и почему 79% атак обходятся без малвари​

Living off the Land (LOTL) - стратегия атаки, при которой злоумышленник проходит весь kill chain руками легитимных инструментов, уже стоящих в системе. Вместо загрузки собственного бэкдора или RAT оператор берёт подписанные Microsoft бинарники - те самые LOLBins (Living Off the Land Binaries) - и через них качает пейлоад, исполняет код в памяти, ходит по сети и закрепляется.

Термин появился около 2013 года, но взрывной рост начался после 2019-го. Причины - экономические и тактические:

• EDR подорожали и поумнели - CrowdStrike, Defender for Endpoint, SentinelOne стали стандартом. Классический дроппер на диске живёт секунды.
• LOLBins доверенные - подписаны Microsoft, сидят в белых списках AppLocker, не вызывают срабатываний EPP по умолчанию.
• Нет IOC файлового уровня - хэши совпадают с легитимными. Сигнатурный анализ бессилен.
• Дешевле в эксплуатации - атакующему не нужно пилить и поддерживать custom tooling.

Проект LOLBAS на GitHub каталогизирует более 200 Windows-бинарников с задокументированным потенциалом злоупотребления. Параллельно живут GTFOBins (Linux), LOOBins (macOS) и LOLDrivers (уязвимые подписанные драйверы для атак на уровне ядра).

С точки зрения MITRE ATT&CK, ядро LOTL - техника T1218 System Binary Proxy Execution (тактика Defense Evasion, платформа Windows): атакующий проксирует выполнение произвольного кода через доверенный системный бинарник, чтобы обойти защиту. Но в реальной кампании LOTL покрывает и Execution (T1059.001 PowerShell, T1059.003 Windows Command Shell, T1047 WMI), и C2 (T1105 Ingress Tool Transfer), и Credential Access (T1003.001 LSASS Memory), и Privilege Escalation (T1134, T1055), и Persistence. Для cmd.exe (T1059.003) LOLBAS также документирует T1048.003, T1105 и T1564.004.

Тут важно понять одну вещь: LOTL - не отдельный трюк, а философия построения всей цепочки атаки. Конкретные команды и флаги для каждого этапа детально разобраны в шпаргалке: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.

7 LOLBins, которые определяют картину атак в 2026 году​

Не все LOLBins одинаково опасны. Ниже - бинарники, которые я стабильно встречаю в реальных Red Team-кампаниях и разборах инцидентов. Для каждого - суть злоупотребления, статус детектирования и маппинг на ATT&CK.

certutil.exe - швейцарский нож пост-эксплуатации​

Штатная утилита управления сертификатами. Качает файлы из интернета (-urlcache -split -f), кодирует и декодирует Base64 (-encode / -decode). В 2025-м certutil засветился у группы Storm-2460 - качал вспомогательные компоненты на ранних стадиях кампании PipeMagic, где отдельно эксплуатировалась CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8, CWE-416) для повышения привилегий. Цели - США, Испания, Венесуэла, Саудовская Аравия.

Статус детектирования: большинство EDR алертят на certutil -urlcache. Но многие организации до сих пор не заблокировали этот паттерн - и утилита по-прежнему торчит в цепочках доставки.

mshta.exe - выполнение скриптов без файлов на диске​

Microsoft HTML Application Host исполняет .hta-файлы - по сути HTML с встроенным VBScript/JScript. Атакующий указывает URL удалённого .hta, и код исполняется в памяти. На диске - ничего. В Q3 2025 оператор ransomware использовал mshta.exe с inline-скриптом для правки реестра ради персистенции. Окно приложения - 2 пикселя. Пользователь не видит ровным счётом ничего.

Статус детектирования: parent-child relationships (mshta порождает rundll32 или powershell) хорошо сигнатурированы. А вот inline-скрипты ловятся хуже - без полного логирования командной строки мимо них легко пройти.

regsvr32.exe - техника Squiblydoo жива и в 2026​

Регистрирует COM-компоненты. Может загружать и исполнять удалённый .sct (scriptlet) файл. Приём «Squiblydoo» описали ещё в 2016 году (T1218.010 Regsvr32), а он до сих пор работает - regsvr32.exe доверенный, обходит правила AppLocker типа «запускать только подписанные EXE». По документам - «только подписанные», на практике scriptlet спокойно проходит.

rundll32.exe - proxy execution и дамп LSASS без Mimikatz​

Выполняет экспортированные функции из DLL (T1218.011). Самый жёсткий сценарий: rundll32.exe C:\windows\system32\comsvcs.dll, MiniDump <LSASS_PID> C:\Windows\Temp\lsass.dmp full - дамп памяти LSASS (нужны права локального администратора с SeDebugPrivilege, который включён по умолчанию в elevated-токене). Тут комбинируются две техники ATT&CK: rundll32 как proxy execution - T1218.011 (плюс T1564.004 по LOLBAS), а дамп LSASS через comsvcs.dll - T1003.001.

Нюанс: если LSASS защищён как Protected Process Light (RunAsPPL в HKLM\SYSTEM\CurrentControlSet\Control\Lsa) или включён Credential Guard, MiniDump через comsvcs.dll вернёт Access Denied даже администратору. Придётся сначала обойти PPL - например, через BYOVD. Без Mimikatz и вообще без стороннего софта - чистый LOLBin. Обнаружить сложнее, когда DLL грузится с локального диска, а не по сети.

msiexec.exe - удалённый инсталлятор как дроппер​

msiexec /i http://... - качает и ставит MSI-пакет (T1218.007). Вектор задокументирован в кампаниях по доставке commodity-загрузчиков и RAT. Я вижу его реже, чем certutil, но когда вижу - обычно в связке с социальной инженерией.

forfiles.exe - порождение процессов в обход мониторинга parent-child​

Запускает команду для каждого файла по маске. Используется как прокси для запуска других бинарников: часть EDR-правил отслеживает, кто породил процесс, а forfiles сбивает эту цепочку. Именно так работала кампания Remcos/NetSupport RAT в январе 2026-го.

MAVInject.exe - LOLBin уровня nation-state​

Microsoft Application Virtualization Injector. В феврале 2025 года Trend Micro и Mandiant задокументировали, как APT-группа Mustang Panda (Earth Preta) использовала MAVInject.exe для инъекции DLL в запущенные процессы (T1218.013). Техника целенаправленно применялась на машинах с ESET: инъекция в процесс waitfor.exe позволяла бэкдору TONESHELL жить внутри доверенного процесса. Этот бинарник настолько малоизвестен, что большинство Security-команд о нём никогда не слышали. Покрытие детектирования - околонулевое.

Отдельно стоит упомянуть curl.exe и tar.exe - оба нативно включены в Windows 10 с 2018 и 2019 годов. Подписаны Microsoft, baseline считает их безопасными, а поведенческие правила EDR для них заметно менее зрелые, чем для certutil или bitsadmin. По сути - свежее мясо для атакующих.

Полный справочник команд с флагами, описанием на уровне API и статусом детектирования: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.

Анатомия полной LOLBin-цепочки: от фишинга до RAT без единого вредоносного файла​

Теория - это хорошо. Но LOTL становится по-настоящему страшным, когда LOLBins собираются в цепочку. Январская кампания 2026 года по доставке Remcos и NetSupport RAT, задокументированная Malwarebytes, - один из самых чистых примеров.

Весь kill chain от фишингового письма до персистентного RAT - ноль custom malware вплоть до финального пейлоада. Каждый шаг - подписанный Microsoft бинарник или легитимное приложение:

📚 Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Пошаговые сценарии с разбором на уровне сетевых протоколов: Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике.

Повышение привилегий: от пользователя до SYSTEM встроенными средствами​

Оказавшись на хосте с правами обычного пользователя, оператор LOTL повышает привилегии без загрузки эксплойтов. Основные вектора:

Мисконфигурации служб и разрешений. Служба запускается от SYSTEM и имеет writable-путь к бинарнику - подменяем EXE и перезапускаем. Для обнаружения таких служб не нужен сторонний инструмент: sc qc <service>, icacls <path> - всё штатное. У меня на проектах такие мисконфиги встречаются чаще, чем хотелось бы.

Обход UAC. User Account Control - не граница безопасности, а уровень удобства (Microsoft сами это признают). Десятки задокументированных обходов (T1548.002) через auto-elevate бинарники, и многие из них - LOLBins: fodhelper.exe, computerdefaults.exe, sdclt.exe.

Манипуляция токенами (T1134.001 Token Impersonation/Theft). SeImpersonatePrivilege у сервисных аккаунтов позволяет олицетворять токен SYSTEM. Техники семейства Potato (PrintSpoofer, GodPotato, JuicyPotatoNG) эксплуатируют именно это - и новые «картошки» появляются с завидной регулярностью.

Свежие CVE из Patch Tuesday. Уязвимости LPE выходят ежемесячно. CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8) - локальный авторизованный пользователь получает SYSTEM. Эта уязвимость активно эксплуатировалась in the wild совместно с certutil в цепочке PipeMagic.

Для практика важен не отдельный CVE, а паттерн: Patch Tuesday каждый месяц приносит 2-5 LPE. Red Team-оператор проверяет свежие бюллетени и интегрирует рабочие LPE в арсенал быстрее, чем Blue Team накатит патч. Гонка - она и есть гонка.

Разбор мисконфигураций, токенов и обхода UAC: Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике.

Подробный разбор свежих LPE-уязвимостей: Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации.

Обход EDR и AMSI: почему Defense Evasion - центральный этап LOTL​

Техника Living off the Land по своей природе - техника уклонения (T1218 System Binary Proxy Execution). Но современные EDR научились строить поведенческие цепочки, и голый certutil -urlcache уже вызывает алерт. Поэтому Red Team-оператор комбинирует несколько уровней обхода.

Обход AMSI (Anti-Malware Scan Interface)​

AMSI перехватывает содержимое PowerShell-скриптов, VBScript и JScript перед исполнением и отправляет антивирусу. Даже чистый PowerShell-пейлоад в памяти может быть заблокирован. Обход AMSI - обязательный шаг перед любой PowerShell-активностью в LOTL-цепочке.

Есть техники патчинга amsi.dll в памяти текущего процесса - отключают сканирование до перезапуска сессии. Делается через штатные .NET-методы без загрузки сторонних DLL - чистый in-memory patching. EDR видит попытку, если мониторит обращения к AmsiScanBuffer, но не все вендоры реализуют этот детект одинаково качественно. Кто-то ловит, кто-то нет - проверяйте на своём стеке.

Обход поведенческих правил EDR​

Современные EDR (CrowdStrike Falcon, Defender for Endpoint, SentinelOne) строят деревья процессов и корреляции. Классическая цепочка winword.exe → powershell.exe → certutil.exe - мгновенный алерт. Операторы разрывают эту цепочку:

• Proxy-бинарники - forfiles.exe, pcalua.exe, explorer.exe (T1202 Indirect Command Execution) как промежуточные parent-процессы, ломающие ожидаемое дерево
• Scheduled Task - задача планировщика порождает процесс от имени svchost.exe, а не от атакующего процесса
• COM-объекты - вызов через COM создаёт процесс в контексте dllhost.exe или svchost.exe

T1562.001 - Disable or Modify Tools​

Если оператор получил достаточные привилегии, он может тупо отключить защиту: добавить исключения в Defender через PowerShell (Set-MpPreference -ExclusionPath), остановить службу EDR-агента или использовать уязвимый драйвер для убийства процесса защиты на уровне ядра.

Практический гайд по обходу Defender и AMSI: Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team.

BYOVD: когда LOLBins недостаточно, атакующий приносит свой драйвер​

Bring Your Own Vulnerable Driver (BYOVD) - логическое расширение LOTL-философии. LOLBins работают в user space, а BYOVD даёт доступ на уровне ядра:

• Терминация защищённых процессов EDR через kernel API (ZwTerminateProcess, удаление callback-уведомлений через PsSetCreateProcessNotifyRoutine)
• Скрытие процессов и файлов от системных утилит
• В продвинутых сценариях - прямое взаимодействие со структурами ядра, обычно защищёнными от модификации

Проект LOLDrivers каталогизирует подписанные Windows-драйверы с известными уязвимостями. Группа FIN7 использовала инструмент AuKill с уязвимыми RTCore32.sys и RTCore64.sys для отключения EDR перед развёртыванием ransomware. RansomHub применял легитимную утилиту TDSSKiller (Kaspersky) в debug-режиме для убийства процессов EDR. Да, антивирусная утилита Касперского - для отключения антивируса. Ирония.

Windows требует подписи драйверов, но BYOVD эксплуатирует не отсутствие подписи, а уязвимость в легитимном подписанном драйвере. Он проходит проверку целостности, загружается в ядро - и даёт атакующему примитивы для произвольного чтения/записи памяти ядра.

Полный разбор анатомии BYOVD-атак: BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году.

Реальные кампании: Volt Typhoon, Remcos 2026, Mustang Panda​

Три кейса - три уровня сложности. Все три - чистый LOTL.

Volt Typhoon - 5 лет в критической инфраструктуре США​

Китайская государственная APT, задокументированная CISA и Five Eyes. Целевые секторы: энергетика, телеком, транспорт. Набор инструментов: PowerShell, WMIC, netsh, ntdsutil. Ни одного custom malware. В отдельных средах доступ сохранялся более пяти лет до обнаружения. Это предел того, насколько долго LOTL может оставаться невидимым при слабом поведенческом мониторинге.

Remcos/NetSupport RAT - январь 2026​

Кампания, задокументированная Malwarebytes. Полная LOLBin-цепочка: mshta.exe → curl.exe → tar.exe → forfiles.exe → троянизированное легитимное приложение. Ноль custom malware до финального пейлоада. Показательно использование curl.exe и tar.exe - бинарников, для которых зрелых поведенческих правил в большинстве EDR ещё нет.

Mustang Panda (Earth Preta) - MAVInject.exe​

APT-группа целенаправленно использовала малоизвестный LOLBin MAVInject.exe для инъекции в процесс waitfor.exe на машинах с ESET. Работало именно потому, что бинарник легитимный, подписан Microsoft, а детект-покрытие для него - практически ноль.

Детектирование LOTL: чек-лист для Blue Team и Purple Team​

Обнаружить LOTL-атаку сигнатурным анализом нельзя - нечего сигнатурировать. Работает только поведенческий анализ и корреляция событий. Ниже - практический чек-лист, который я использую в Purple Team-сессиях.

Обязательный фундамент: логирование​

Без логов нет детекта. Точка. Стандартный уровень аудита Windows недостаточен. Минимальный набор:

• Sysmon с конфигурацией, покрывающей Event ID 1 (Process Creation с command line), 3 (Network Connection), 7 (Image Loaded), 10 (Process Access), 11 (File Create), 13 (Registry Value Set), 19-21 (WMI Events)
• Event ID 4688 с включённым логированием командной строки (GPO Audit Process Creation + Include command line in process creation events)
• PowerShell Script Block Logging (Event ID 4104) и Module Logging - критично для обнаружения fileless-активности через T1059.001

Если у вас не включён хотя бы Sysmon с нормальной конфигурацией - вы слепы. Не «частично видите», а именно слепы.

Поведенческие правила, которые реально работают​

Что мониторить	Почему подозрительно	MITRE ATT&CK
certutil.exe с -urlcache, -split, -decode, -encode	Загрузка файлов, декодирование Base64, работа с ADS - не типично для администрирования	T1105, T1140, T1027.013, T1564.004
mshta.exe порождает powershell.exe, cmd.exe, rundll32.exe	Легитимный HTA-процесс не должен порождать интерпретаторы	T1218.005 + T1059.001/T1059.003
rundll32.exe обращается к сети или порождает дочерние процессы	Штатное использование - загрузка локальных DLL, не сетевые вызовы	T1218.011
Любой LOLBin (forfiles, pcalua, msiexec) порождает powershell.exe	Proxy execution для обхода parent-child мониторинга	T1202, T1218.007
MAVInject.exe запускается вне контекста App-V	Этот бинарник вне виртуализации приложений - красный флаг	T1218.013
PowerShell с -EncodedCommand, -NoProfile, -WindowStyle Hidden	Сочетание этих флагов - характерный маркер вредоносной активности	T1059.001

Пример KQL-запроса для Defender for Endpoint​

Запрос, выявляющий LOLBins с сетевыми соединениями:

DeviceNetworkEvents
| where InitiatingProcessFileName in~ (
    "certutil.exe", "mshta.exe", "regsvr32.exe",
    "msiexec.exe", "rundll32.exe", "forfiles.exe"
  )
| where RemoteIPType == "Public"
| project Timestamp, DeviceName, InitiatingProcessFileName,
          InitiatingProcessCommandLine, RemoteIP, RemotePort
| sort by Timestamp desc

Централизация и корреляция​

Совместное руководство киберагентств США, Великобритании и Австралии по детектированию LOTL сводится к нескольким вещам:

• Логи - в централизованный SIEM с защитой от модификации (write-once storage). Если атакующий может подчистить логи - считайте, что их нет.
• Определите baseline нормальной активности: какие LOLBins запускаются, кем, когда, с какими аргументами.
• Используйте UEBA для обнаружения отклонений от baseline.
• Проводите Threat Hunting по каталогу LOLBAS - проверьте, какие бинарники из списка запускались в вашей среде за последние 30 дней. Результаты бывают, неожиданными.

PowerShell: LOLBin номер один в арсенале атакующих​

PowerShell заслуживает отдельного разговора. По данным Red Canary Threat Detection Report, он стабильно в топе наиболее злоупотребляемых LOLBins. И это не просто исполнитель команд - это полноценная среда:

• Прямой доступ к .NET Framework и Windows API
• Скачивание и исполнение кода в памяти (IEX (New-Object Net.WebClient).DownloadString(...))
• Удалённое выполнение через WinRM (T1059.001)
• Управление WMI, реестром, службами, планировщиком - весь стек персистенции и lateral movement одним инструментом

При этом полностью отключить PowerShell в корпоративной среде нельзя: на нём построена автоматизация, GPO, SCCM, куча административных инструментов. Попробуйте отключить - и первым прибежит не безопасник, а сисадмин.

Защитная стратегия: Constrained Language Mode + Script Block Logging + AMSI - три слоя обороны, каждый из которых атакующий должен обойти отдельно. Но у каждого слоя есть задокументированные обходы. Бесконечная гонка вооружений - добро пожаловать.

Куда движется LOTL: тренды и прогноз​

LOTL - не модная техника, а новая норма. Несколько тенденций на ближайший год:

Рост использования «свежих» LOLBins. curl.exe, tar.exe, MAVInject.exe - покрытие детектирования для них только формируется. Атакующие целенаправленно ищут LOLBins с минимальным количеством правил в EDR. Проект LOLBAS пополняется регулярно, и каждый новый entry - вектор, который Blue Team пока не видит.

Конвергенция LOTL и BYOVD. Чистые LOLBins - user space. Для убийства EDR нужен kernel access. Комбинация «LOLBin-цепочка для доставки + BYOVD для нейтрализации защиты» становится стандартным паттерном у финансово мотивированных групп.

Облачный LOTL. Техника масштабируется за пределы Windows: AWS CLI, Azure PowerShell, gcloud - всё это LOLBins облачной среды. Украденные cloud credentials позволяют жить off the land в облаке.

Ответ от Microsoft. Всё больше LOLBins получают ограничения: WDAC-политики, AppLocker-правила, подписанные конфигурации Sysmon. Но темп появления новых техник пока опережает темп закрытия. Как обычно.

Для Red Team-оператора: инвестируйте в понимание Windows internals, а не в конкретные инструменты. Cobalt Strike, Sliver, Havoc - средства доставки. Реальная работа на хосте - это LOLBins, и чем глубже вы понимаете, как каждый из них взаимодействует с ядром и телеметрией, тем дольше остаётесь невидимым.

Для Blue Team: baseline, baseline и ещё раз baseline. Если вы не знаете, какие LOLBins нормальны в вашей среде, вы не отличите оператора от сисадмина. Sysmon + SIEM + UEBA - минимальный стек. Без него 79% атак пройдут мимо.



Начните с конкретных шагов: разверните Sysmon с детализированной конфигурацией, включите Script Block Logging, проведите hunt по каталогу LOLBAS в вашей SIEM. Каждая spoke-статья этого кластера даёт пошаговую инструкцию для конкретного этапа - от первой команды до детект-правила.

Вопрос к читателям​

В январской кампании Remcos/NetSupport RAT 2026 года атакующие использовали forfiles.exe как proxy для запуска mshta.exe, разрывая дерево parent-child процессов и обходя поведенческие правила EDR. В стандартной конфигурации Sysmon (SwiftOnSecurity config) корреляция forfiles.exe → mshta.exe не покрыта выделенным правилом. Какой блок XML-конфигурации Sysmon (Event ID 1, ProcessCreate) вы добавили бы для детектирования этой цепочки - с каким именно условием по ParentImage и Image? Если уже ловили LOLBin-chaining через кастомные Sysmon-фильтры или Sigma-правила - делитесь конфигом.