Acronimo di Living-Off-the-Land Binaries Cyber Threat Intelligence, LOLBins CTI-Driven è un progetto ideato per supportare gli analisti InfoSec nella ricostruzione di come i binari LOLBin vengano utilizzati dagli attacker durante un’intrusione. Il software è in grado di ricostruire il workflow percorso dai processi generando e mostrando un formato grafico compatibile con le piattaforme TIP e con lo standard STIX.
Di recente, alla piattaforma è stato aggiunto il supporto per il processo regsvr32.exe:
Perché proprio regsvr32.exe? Poiché viene comunemente utilizzato (abusato!) dagli attacker per avviare l’esecuzione di codice malevolo tramite proxy. Il suo utilizzo malevolo coinvolge attività come:
– il bypass degli agent di sistemi XDR ed EDR
– l’esecuzione di scriptlet COM per scaricare dinamicamente backdoor da iniettare in memoria
– l’avvio di script dannosi
– l’utilizzo di librerie .dll malevole
– la distribuzione di payload
– l’avvio di script remoti in grado di rilasciare ed eseguire file
– la persistenza dei malware all’avvio dei sistema operativi
– l’esecuzione di file con estensione .sct
dmzware.com 