Ваш EDR не сработал. Антивирус молчит. На диск не упал ни один подозрительный файл - а атакующий уже дампит LSASS и двигается по сети, используя исключительно бинарники, которые Microsoft поставляет с каждой копией Windows. По данным CrowdStrike Global Threat Report 2025, 79% обнаружений (detections) CrowdStrike в 2024 году были malware-free - то есть использовали валидные учётные записи, RMM-инструменты и/или LOTL-техники, - против 40% в 2019-м. Анализ Bitdefender по 700 000 инцидентов показывает, что 84% высокоприоритетных атак задействуют технику Living off the Land. Ваши штатные утилиты -
certutil, mshta, rundll32 - это не просто инструменты администратора. Это арсенал, который уже используется против вас.Эта статья - хаб-страница, с которой вы попадёте в любую точку темы: от конкретных команд пост-эксплуатации до обхода AMSI и закрепления через COM-hijacking. Ниже - карта всего кластера.
Карта темы: навигация по кластеру
| # | Подтема | Подробный разбор |
|---|---|---|
| 1 | Справочник LOLBins-команд для каждого этапа kill chain | LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов |
| 2 | Перемещение по сети через WMI, PSRemoting, DCOM | Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике |
| 3 | Повышение привилегий через мисконфигурации и токены | Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике |
| 4 | Свежие LPE-уязвимости из Patch Tuesday 2026 | Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации |
| 5 | Обход Defender, AMSI и техники defense evasion | Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team |
| 6 | Механизмы закрепления: реестр, планировщик, WMI, COM | Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team |
| 7 | Обход EDR через уязвимые драйверы (BYOVD) | BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году |
Что такое Living off the Land и почему 79% атак обходятся без малвари
Living off the Land (LOTL) - стратегия атаки, при которой злоумышленник выполняет всю цепочку kill chain, используя легитимные инструменты, уже присутствующие в целевой системе. Вместо загрузки собственного бэкдора или RAT оператор применяет подписанные Microsoft бинарники - те самые LOLBins (Living Off the Land Binaries) - для скачивания полезной нагрузки, выполнения кода в памяти, перемещения по сети и закрепления.Термин появился около 2013 года, но взрывной рост начался после 2019. Причины - экономические и тактические:
- Инвестиции в EDR выросли - CrowdStrike, Defender for Endpoint, SentinelOne стали стандартом. Классический дроппер на диске живёт секунды.
- LOLBins доверенные - подписаны Microsoft, входят в белые списки AppLocker, не вызывают срабатываний EPP по умолчанию.
- Нет IOC файлового уровня - хэши бинарников совпадают с легитимными. Сигнатурный анализ бессилен.
- Удешевление операций - атакующему не нужно разрабатывать и поддерживать custom tooling.
С точки зрения MITRE ATT&CK, ядро LOTL - это техника T1218 System Binary Proxy Execution (тактика Defense Evasion, платформа Windows): атакующий проксирует выполнение произвольного кода через доверенный системный бинарник, чтобы обойти средства защиты. Но в реальной кампании LOTL покрывает и Execution (T1059.001 PowerShell, T1059.003 Windows Command Shell, T1047 WMI), и Command and Control (T1105 Ingress Tool Transfer), и Credential Access (T1003.001 LSASS Memory), и Privilege Escalation (T1134, T1055), и Persistence. Для cmd.exe (T1059.003) LOLBAS также документирует T1048.003, T1105 и T1564.004.
Ключевое, что нужно понять: LOTL - не отдельный трюк, а философия построения всей цепочки атаки. Конкретные команды и флаги для каждого этапа мы детально разобрали в нашей шпаргалке: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.
7 LOLBins, которые определяют ландшафт атак в 2026 году
Не все LOLBins одинаково опасны. Ниже - бинарники, которые я стабильно встречаю в реальных Red Team-кампаниях и разборах инцидентов. Для каждого - суть злоупотребления, текущий статус детектирования и маппинг на ATT&CK.certutil.exe - швейцарский нож пост-эксплуатации
Штатная утилита управления сертификатами. Умеет скачивать файлы из интернета (-urlcache -split -f), кодировать и декодировать Base64 (-encode / -decode). В 2025 году certutil использовался группой Storm-2460 для скачивания вспомогательных компонентов на ранних стадиях кампании PipeMagic, в которой отдельно эксплуатировалась CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8, CWE-416) для повышения привилегий - против целей в США, Испании, Венесуэле и Саудовской Аравии.Статус детектирования: большинство EDR алертят на
certutil -urlcache. Но многие организации до сих пор не заблокировали этот паттерн, и утилита остаётся в цепочках доставки.mshta.exe - выполнение скриптов без файлов на диске
Microsoft HTML Application Host исполняет.hta-файлы - по сути HTML с встроенным VBScript/JScript. Атакующий указывает URL удалённого .hta, и код исполняется в памяти без создания файла на диске. В Q3 2025 оператор ransomware использовал mshta.exe с inline-скриптом для модификации ключей реестра для персистенции, при этом окно приложения было задано размером в 2 пикселя - невидимо для пользователя.Статус детектирования: Parent-child relationships (
mshta порождает rundll32 или powershell) хорошо сигнатурированы. Inline-скрипты ловятся хуже без полного логирования командной строки.regsvr32.exe - техника Squiblydoo жива и в 2026
Регистрирует COM-компоненты. Может загружать и исполнять удалённый.sct (scriptlet) файл. Этот приём, получивший имя «Squiblydoo» ещё в 2016 году (T1218.010 Regsvr32), по-прежнему работает, потому что regsvr32.exe - доверенный бинарник, который обходит правила AppLocker типа «запускать только подписанные исполняемые файлы».rundll32.exe - proxy execution и дамп LSASS без Mimikatz
Выполняет экспортированные функции из DLL (T1218.011). Один из самых импактных сценариев: вызовrundll32.exe C:\windows\system32\comsvcs.dll, MiniDump <LSASS_PID> C:\Windows\Temp\lsass.dmp full для дампа памяти процесса LSASS (требуются права локального администратора с SeDebugPrivilege, который включается по умолчанию в токене admin при elevated-запуске). Здесь комбинируются две техники ATT&CK: rundll32 как proxy execution - T1218.011 (согласно LOLBAS, также T1564.004), а дамп LSASS через comsvcs.dll - T1003.001. Важно: если LSASS защищён как Protected Process Light (RunAsPPL включён в HKLM\SYSTEM\CurrentControlSet\Control\Lsa) или активирован Credential Guard, MiniDump через comsvcs.dll вернёт Access Denied даже у администратора - потребуется предварительный bypass PPL, например через BYOVD. Без загрузки Mimikatz или любого стороннего инструмента это чистый LOLBin, и его сложнее обнаружить, когда DLL загружается с локального диска, а не по сети.msiexec.exe - удалённый инсталлятор как дроппер
Указываете URL -msiexec /i http://... - и он скачивает и устанавливает MSI-пакет (T1218.007). Этот вектор (T1218.007) задокументирован в различных кампаниях по доставке вредоносного ПО, включая commodity-загрузчики и RAT.forfiles.exe - порождение процессов в обход мониторинга parent-child
Запускает команду для каждого файла, соответствующего паттерну. Используется как прокси для запуска других бинарников, потому что часть EDR-правил отслеживает, кто породил процесс, аforfiles сбивает эту цепочку. Именно эта техника применялась в кампании Remcos/NetSupport RAT в январе 2026 года.MAVInject.exe - LOLBin уровня nation-state
Microsoft Application Virtualization Injector. В феврале 2025 года Trend Micro и Mandiant задокументировали, как APT-группа Mustang Panda (Earth Preta) использовалаMAVInject.exe для инъекции DLL в запущенные процессы (T1218.013 Mavinject). Техника целенаправленно применялась на машинах с установленным ESET: инъекция в процесс waitfor.exe позволяла бэкдору TONESHELL работать внутри доверенного процесса. Этот бинарник настолько малоизвестен, что большинство Security-команд никогда о нём не слышали, а покрытие детектирования - минимальное.Отдельного внимания заслуживают
curl.exe и tar.exe - оба нативно включены в Windows 10 с 2018 и 2019 годов соответственно. Подписаны Microsoft, большинство baseline считает их безопасными, а поведенческие правила EDR для них значительно менее зрелые, чем для certutil или bitsadmin.Полный справочник команд с флагами, описанием действий на уровне API и статусом детектирования: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.
Анатомия полной LOLBin-цепочки: от фишинга до RAT без единого вредоносного файла
Теория - это хорошо, но LOTL становится по-настоящему опасным, когда LOLBins объединяются в цепочку. Январская кампания 2026 года по доставке Remcos и NetSupport RAT, задокументированная Malwarebytes, - один из самых чистых примеров.Весь kill chain от фишингового письма до персистентного RAT использовал ноль custom malware вплоть до финального пейлоада. Каждый шаг выполнялся подписанным Microsoft бинарником или легитимным приложением:
- Начальный доступ - фишинговое письмо с вложением
- Execution -
mshta.exeисполняет inline HTA-скрипт - Загрузка -
curl.exeскачивает архив с пейлоадом - Распаковка -
tar.exeизвлекает содержимое (T1105 Ingress Tool Transfer) - Proxy Execution -
forfiles.exeпорождает следующий бинарник, разрывая цепочку parent-child - Финальная доставка - троянизированное легитимное приложение (glaxnimate.exe) загружает RAT
Это именно та модель, которую я использую при построении Red Team-кампаний в Cobalt Strike и Sliver: C2-фреймворк отдаёт команды, но каждое действие на хосте выполняется руками штатных утилит Windows.
Закрепление в системе: Persistence без сторонних EXE
После первоначального доступа атакующему нужно пережить перезагрузку. В LOTL-парадигме для этого используются встроенные механизмы Windows:- Планировщик задач -
schtasks /createсоздаёт задачу, выполняющую PowerShell-скрипт. Для Blue Team это выглядит как рутинная задача автоматизации. - WMI Event Subscriptions - триггер на событие (например, вход пользователя) + действие (запуск команды). Персистенция без файлов на диске (T1047).
- Ключи реестра Run/RunOnce - классический, но по-прежнему рабочий вектор. Добавление записи в
HKCU\Software\Microsoft\Windows\CurrentVersion\Runтребует одной командыreg add. - COM Hijacking - подмена CLSID в реестре для перехвата загрузки легитимного COM-объекта. Один из самых скрытных механизмов, потому что вызов происходит в контексте доверенного процесса.
Подробный разбор каждого механизма с командами и детектами: Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team.
Lateral Movement нативными инструментами Windows: WMI, DCOM и PSRemoting
Когда оператор закрепился на одном хосте, следующая задача - распространение по сети. И здесь LOTL раскрывается в полную силу. Всё, что нужно для Lateral Movement, уже есть в Windows:- WMI (T1047) -
wmic /node:<target> process call create "cmd /c ..."запускает произвольную команду на удалённом хосте через RPC. Выглядит как штатное администрирование. - PowerShell Remoting (WinRM) -
Invoke-Command -ComputerName <target> -ScriptBlock { ... }открывает сессию на удалённой машине. Если WinRM включён (а в доменной среде это часто по умолчанию), атакующему не нужно ничего загружать. - DCOM - Distributed COM позволяет вызывать методы COM-объектов на удалённых хостах. Менее мониторится, чем WMI и PSRemoting, что делает его привлекательным для операторов.
- RDP с украденными учётными данными - протокол Remote Desktop, штатный инструмент любого Windows-администратора.
Ключевая проблема для защитников: все перечисленные протоколы - это легитимный административный трафик. Различить сисадмина и атакующего можно только по контексту: время суток, сочетание команд, частота обращений к нетипичным хостам.
Отдельную проблему представляет lateral movement через доверенные учётные записи: когда атакующий использует валидные credentials, EDR не видит аномалии на уровне процессов - весь трафик выглядит как легитимное администрирование. Подробно о том, почему средства защиты молчат в таких сценариях и как их всё же обнаружить: Lateral movement через доверенные учётные записи.
Пошаговые сценарии с разбором на уровне сетевых протоколов: Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике.
Повышение привилегий: от пользователя до SYSTEM встроенными средствами
Оказавшись на хосте с правами обычного пользователя, оператор LOTL повышает привилегии без загрузки эксплойтов. Основные вектора:Мисконфигурации служб и разрешений. Если служба запускается от имени SYSTEM и имеет writable-путь к бинарнику, достаточно подменить исполняемый файл. Для обнаружения таких служб не нужен сторонний инструмент:
sc qc <service>, icacls <path> - всё это штатные утилиты Windows.Обход UAC. User Account Control - не граница безопасности, а уровень удобства. Существуют десятки задокументированных обходов UAC (T1548.002) через auto-elevate бинарники, и многие из них - LOLBins:
fodhelper.exe, computerdefaults.exe, sdclt.exe.Манипуляция токенами (T1134.001 Token Impersonation/Theft).
SeImpersonatePrivilege у сервисных аккаунтов позволяет олицетворять токен SYSTEM. Техники семейства Potato (PrintSpoofer, GodPotato, JuicyPotatoNG) эксплуатируют именно это.Свежие CVE из Patch Tuesday. Уязвимости LPE (Local Privilege Escalation) выходят ежемесячно. CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8) - пример: локальный авторизованный пользователь повышает привилегии до SYSTEM. Эта уязвимость активно эксплуатировалась в дикой природе совместно с
certutil в цепочке PipeMagic.Для практика важно не просто знать отдельные CVE, а понимать паттерн: Patch Tuesday каждый месяц приносит 2-5 LPE. Red Team-оператор должен проверять свежие бюллетени и интегрировать рабочие LPE в свой арсенал быстрее, чем Blue Team накатит патч.
Разбор мисконфигураций, токенов и обхода UAC с конкретными сценариями: Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике.
Подробный разбор свежих LPE-уязвимостей: Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации.
Отдельного внимания заслуживает CVE-2026-32202 - уязвимость Windows Shell, позволяющая похищать NTLM-хеши через специально сформированные LNK-файлы без какого-либо взаимодействия со стороны жертвы. В контексте LOTL это особенно опасно: доставка вредоносного LNK-файла через сетевую шару или фишинг не требует стороннего кода, а перехваченный NTLM-хеш открывает путь к Pass-the-Hash и дальнейшему lateral movement. Подробный разбор механики эксплуатации и детектирования: CVE-2026-32202 уязвимость Windows Shell.
Обход EDR и AMSI: почему Defense Evasion - центральный этап LOTL
Техника Living off the Land по своей природе является техникой уклонения (T1218 System Binary Proxy Execution). Но современные EDR научились строить поведенческие цепочки, и простой запускcertutil -urlcache уже вызывает алерт. Поэтому Red Team-оператор комбинирует несколько уровней обхода.Обход AMSI (Anti-Malware Scan Interface)
AMSI перехватывает содержимое PowerShell-скриптов, VBScript и JScript перед исполнением и отправляет на проверку антивирусу. Для оператора это означает, что даже чистый PowerShell-пейлоад в памяти может быть заблокирован. Обход AMSI - обязательный шаг перед любой PowerShell-активностью в цепочке LOTL.Существуют техники патчинга
amsi.dll в памяти текущего процесса, которые отключают сканирование до перезапуска сессии. Это делается через штатные .NET-методы без загрузки сторонних DLL - чистый in-memory patching. EDR видит попытку патчинга, если мониторит обращения к AmsiScanBuffer, но не все вендоры реализуют этот детект одинаково качественно.Обход поведенческих правил EDR
Современные EDR (CrowdStrike Falcon, Defender for Endpoint, SentinelOne) строят деревья процессов и корреляции. Классическая цепочкаwinword.exe → powershell.exe → certutil.exe вызывает алерт. Операторы разрывают эту цепочку:- Proxy-бинарники -
forfiles.exe,pcalua.exe,explorer.exe(T1202 Indirect Command Execution) как промежуточные parent-процессы, нарушающие ожидаемое дерево - Scheduled Task - задача планировщика порождает процесс от имени
svchost.exe, а не от атакующего процесса - COM-объекты - вызов через COM создаёт процесс в контексте
dllhost.exeилиsvchost.exe
T1562.001 - Disable or Modify Tools
Если оператор получил достаточные привилегии, он может отключить защиту напрямую: добавить исключения в Defender через PowerShell (Set-MpPreference -ExclusionPath), остановить службу EDR-агента, или использовать уязвимый драйвер для терминации процесса защиты на уровне ядра.Практический гайд по обходу Defender и AMSI с разбором конкретных техник: Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team.
BYOVD: когда LOLBins недостаточно, атакующий приносит свой драйвер
Bring Your Own Vulnerable Driver (BYOVD) - логическое расширение LOTL-философии. Если LOLBins работают в user space, BYOVD даёт атакующему доступ на уровне ядра, что позволяет:- Терминировать защищённые процессы EDR через kernel API (ZwTerminateProcess, удаление callback-уведомлений через PsSetCreateProcessNotifyRoutine)
- Скрывать процессы и файлы от системных утилит
- В продвинутых сценариях - взаимодействовать со структурами ядра, обычно защищёнными от модификации
RTCore32.sys и RTCore64.sys для отключения EDR перед развёртыванием ransomware. RansomHub применял легитимную утилиту TDSSKiller (Kaspersky) в debug-режиме для терминации процессов EDR.Современная Windows требует подписи драйверов, но BYOVD эксплуатирует не отсутствие подписи, а уязвимость в легитимном подписанном драйвере. Этот драйвер проходит проверку целостности, загружается в ядро - и предоставляет атакующему примитивы для произвольного чтения/записи памяти ядра.
Полный разбор анатомии BYOVD-атак: BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году.
Реальные кампании: Volt Typhoon, Remcos 2026, Mustang Panda
Три кейса, которые показывают LOTL на разных уровнях сложности.Volt Typhoon - 5 лет в критической инфраструктуре США
Китайская государственная APT-группа, задокументированная CISA и Five Eyes. Целевые секторы: энергетика, телеком, транспорт. Набор инструментов: PowerShell, WMIC, netsh, ntdsutil. Ни одного custom malware. В отдельных средах доступ сохранялся более пяти лет до обнаружения. Это показывает предел того, насколько долго LOTL может оставаться невидимым при недостаточном поведенческом мониторинге.Remcos/NetSupport RAT - январь 2026
Кампания, задокументированная Malwarebytes. Полная LOLBin-цепочка:mshta.exe → curl.exe → tar.exe → forfiles.exe → троянизированное легитимное приложение. Ноль custom malware до финального пейлоада. Показательно использование curl.exe и tar.exe - бинарников, которые ещё не имеют зрелых поведенческих правил в большинстве EDR.Mustang Panda (Earth Preta) - MAVInject.exe
APT-группа целенаправленно использовала малоизвестный LOLBinMAVInject.exe для инъекции в процесс waitfor.exe на машинах с ESET. Техника работала именно потому, что бинарник легитимный, подписан Microsoft, и детект-покрытие для него близко к нулю.Детектирование LOTL: чек-лист для Blue Team и Purple Team
Обнаружить LOTL-атаку сигнатурным анализом невозможно - нечего сигнатурировать. Работает только поведенческий анализ и корреляция событий. Ниже - практический чек-лист, который я использую в Purple Team-сессиях.Обязательный фундамент: логирование
Без логов нет детекта. Стандартный уровень аудита Windows недостаточен. Минимальный набор:- Sysmon с конфигурацией, покрывающей Event ID 1 (Process Creation с command line), 3 (Network Connection), 7 (Image Loaded), 10 (Process Access), 11 (File Create), 13 (Registry Value Set), 19-21 (WMI Events)
- Event ID 4688 с включённым логированием командной строки (требует GPO
Audit Process Creation+Include command line in process creation events) - PowerShell Script Block Logging (Event ID 4104) и Module Logging - критично для обнаружения fileless-активности через T1059.001
Поведенческие правила, которые реально работают
| Что мониторить | Почему это подозрительно | MITRE ATT&CK |
|---|---|---|
certutil.exe с аргументами -urlcache, -split, -decode, -encode | Загрузка файлов, декодирование Base64 и работа с ADS не типичны для администрирования | T1105, T1140, T1027.013, T1564.004 |
mshta.exe порождает powershell.exe, cmd.exe, rundll32.exe | Легитимный HTA-процесс не должен порождать интерпретаторы | T1218.005 (mshta) + T1059.001/T1059.003 (child-интерпретаторы) |
rundll32.exe обращается к сети или порождает дочерние процессы | Штатное использование rundll32 - загрузка локальных DLL, а не сетевые вызовы | T1218.011 |
Любой LOLBin (forfiles, pcalua, msiexec) порождает powershell.exe | Proxy execution для обхода parent-child мониторинга | T1202 (forfiles, pcalua), T1218.007 (msiexec) |
MAVInject.exe запускается вне контекста App-V | Исполнение этого бинарника вне виртуализации приложений - красный флаг | T1218.013 |
PowerShell с -EncodedCommand, -NoProfile, -WindowStyle Hidden | Сочетание этих флагов характерно для вредоносной активности | T1059.001 (согласно LOLBAS) |
Пример KQL-запроса для Defender for Endpoint
Для демонстрации концепции - запрос, выявляющий LOLBins, устанавливающие сетевые соединения:
Код:
DeviceNetworkEvents
| where InitiatingProcessFileName in~ (
"certutil.exe", "mshta.exe", "regsvr32.exe",
"msiexec.exe", "rundll32.exe", "forfiles.exe"
)
| where RemoteIPType == "Public"
| project Timestamp, DeviceName, InitiatingProcessFileName,
InitiatingProcessCommandLine, RemoteIP, RemotePort
| sort by Timestamp descЦентрализация и корреляция
Согласно совместному руководству киберагентств США, Великобритании и Австралии по детектированию LOTL, ключевые рекомендации:- Собирайте логи в централизованном SIEM с защитой от модификации (write-once storage)
- Определите baseline нормальной активности: какие LOLBins запускаются, кем, в какое время, с какими аргументами
- Используйте UEBA (User and Entity Behavior Analytics) для обнаружения отклонений от baseline
- Проводите Threat Hunting по каталогу LOLBAS - проверяйте, какие бинарники из списка запускались в вашей среде за последние 30 дней
PowerShell: LOLBin номер один в арсенале атакующих
PowerShell заслуживает отдельного разговора. По данным телеметрии, он стабильно входит в топ наиболее злоупотребляемых LOLBins по данным отраслевых отчётов (например, Red Canary Threat Detection Report). Это не просто исполнитель команд - это полноценная среда, дающая атакующему:- Прямой доступ к .NET Framework и Windows API
- Возможность скачивать и исполнять код в памяти (
IEX (New-Object Net.WebClient).DownloadString(...)) - Удалённое выполнение через WinRM (T1059.001)
- Управление WMI, реестром, службами, планировщиком - весь стек персистенции и lateral movement
Защитная стратегия: Constrained Language Mode + Script Block Logging + AMSI - трёхслойная оборона, каждый слой которой атакующий должен обойти отдельно. Но и каждый слой имеет задокументированные обходы, что создаёт бесконечную гонку вооружений.
Куда движется LOTL: тренды и прогноз
LOTL - не модная техника, а новая норма. Несколько тенденций, которые определят ландшафт в ближайший год:Рост использования «свежих» LOLBins.
curl.exe, tar.exe, MAVInject.exe - бинарники, для которых покрытие детектирования только формируется. Атакующие целенаправленно ищут LOLBins с минимальным количеством правил в EDR. Проект LOLBAS пополняется регулярно, и каждый новый entry - потенциальный вектор, который Blue Team пока не видит.Конвергенция LOTL и BYOVD. Чистые LOLBins работают в user space. Для терминации EDR нужен kernel access. Комбинация «LOLBin-цепочка для доставки + BYOVD для нейтрализации защиты» становится стандартным паттерном у финансово мотивированных групп.
Облачный LOTL. Техника масштабируется за пределы Windows: AWS CLI, Azure PowerShell, gcloud - всё это LOLBins облачной среды. Украденные cloud credentials позволяют жить off the land в облаке.
Ответ от Microsoft. Всё больше LOLBins получают ограничения: WDAC-политики, AppLocker-правила, подписанные конфигурации Sysmon. Но темп появления новых техник пока опережает темп закрытия.
Для Red Team-оператора это значит: инвестируйте в понимание Windows internals, а не в конкретные инструменты. Cobalt Strike, Sliver, Havoc - это средства доставки. Реальная работа на хосте - это LOLBins, и чем глубже вы понимаете, как каждый из них взаимодействует с ядром и телеметрией, тем дольше вы остаётесь невидимым.
Для Blue Team: baseline, baseline, baseline. Если вы не знаете, какие LOLBins нормальны в вашей среде, вы не отличите оператора от сисадмина. Sysmon + SIEM + UEBA - минимальный стек. Без него 79% атак пройдут мимо.
Отдельного внимания заслуживает харденинг систем, которые больше не получают обновлений безопасности. Windows 10 после окончания поддержки становится особенно привлекательной целью для LOTL-атак: отсутствие патчей означает, что известные LPE-уязвимости остаются открытыми, а LOLBins не получают дополнительных ограничений от Microsoft. Чеклист мер по снижению поверхности атаки для таких систем - как с позиции пентестера, так и администратора: харденинг Windows 10/11 после окончания поддержки.
Если вы строите Red Team-операции или защищаете Windows-инфраструктуру, начните с конкретных шагов: разверните Sysmon с детализированной конфигурацией, включите Script Block Logging, проведите hunt по каталогу LOLBAS в вашей SIEM. Каждая spoke-статья этого кластера даёт пошаговую инструкцию для конкретного этапа - от первой команды до детект-правила.
Вопрос к читателям
В январской кампании Remcos/NetSupport RAT 2026 года атакующие использовалиforfiles.exe как proxy для запуска mshta.exe, разрывая дерево parent-child процессов и обходя поведенческие правила EDR. В стандартной конфигурации Sysmon (SwiftOnSecurity config) корреляция forfiles.exe → mshta.exe не покрыта выделенным правилом. Какой блок XML-конфигурации Sysmon (Event ID 1, ProcessCreate) вы добавили бы для детектирования этой цепочки - с каким именно условием по ParentImage и Image? Если уже ловили LOLBin-chaining через кастомные Sysmon-фильтры или Sigma-правила, поделитесь конфигом.```
_________________________________________________
Meta-Title: Living off the Land атаки Windows — LOLBAS, обход EDR
Meta-Description: 79% атак без малвари: полный разбор LOLBins (certutil, mshta, rundll32), цепочки kill chain, обход EDR/AMSI и детектирование LOTL-техник в Windows.
Теги: living off the land, LOLBAS, LOLBins, обход EDR, fileless атаки, пост-эксплуатация Windows, MITRE ATT&CK, certutil mshta rundll32, Red Team Windows, defense evasion, бесфайловые атаки, BYOVD
Вложения
Последнее редактирование:
