De populairste LOLBins van cybercriminelen

Cyberaanvallen berusten meestal op enkele veelgebruikte componenten van het besturingssysteem.

Cybercriminelen maken al lange tijd gebruik van legitieme programma’s en besturingssysteemonderdelen om Microsoft Windows-gebruikers aan te vallen, een tactiek die bekend staat als Living off the Land. Op die manier proberen ze meerdere vliegen in één klap te slaan: ze drukken de kosten voor het ontwikkelen van een malware-toolkit, minimaliseren hun voetafdruk op het besturingssysteem en vermommen hun activiteiten onder legitieme IT-acties.

In andere woorden: het belangrijkste doel is om het detecteren van hun schadelijke activiteiten moeilijker te maken. Daarom monitoren beveiligingsdeskundigen al geruime tijd de activiteiten van potentieel onveilige uitvoerbare bestanden, scripts en bibliotheken, en houden ze zelfs een soort register bij onder het LOLBAS-project op GitHub.

Onze collega’s van de [MDR placeholder]Kaspersky Managed Detection and Response(MDR)[/MDR placeholder]-service, die tal van bedrijven op uiteenlopende zakelijke gebieden beschermen, zien deze aanpak vaak bij echte aanvallen. In het Managed Detection and Response Analyst Report onderzoeken zij de systeemcomponenten die het vaakst worden gebruikt om moderne bedrijven aan te vallen. Hieronder leest u wat ze hebben ontdekt.

Het goud gaat naar PowerShell

PowerShell, een software-engine en scripttaal met een opdrachtregel-interface, is veruit de meest gebruikte legitieme tool onder cybercriminelen, ondanks de inspanningen van Microsoft om het veiliger en beter controleerbaar te maken. Bij 3,3% van de incidenten die door onze MDR-dienst zijn geïdentificeerd, ging het om een poging tot misbruik van PowerShell. Als we de enquête beperken tot kritieke incidenten, zien we bovendien dat PowerShell bij één op de vijf (20,3%, om precies te zijn) een rol speelde.

Het zilver gaat naar rundll32.exe

Op de tweede plaats komt het rundll32-hostproces, dat wordt gebruikt om code van dynamic-link libraries (DLL’s) uit te voeren. Het was betrokken bij 2% van alle incidenten, en 5,1% van de kritieke incidenten.

Brons voor verschillende tools

We vonden vijf tools die in 1,9% van alle incidenten voorkwamen:

  • te.exe, deel van het Test Authoring and Execution Framework,
  • PsExec.exe, een tool voor het draaien van processen op systemen op afstand,
  • CertUtil.exe, een tool voor de behandeling van informatie van certificeringsautoriteiten,
  • Reg.exe, de Microsoft Registry Console Tool, die kan worden gebruikt om sleutels in het systeemregister te wijzigen en toe te voegen vanaf de opdrachtregel,
  • wscript.exe, Windows Script Host, ontworpen om scripts in scripttalen uit te voeren.

Deze vijf uitvoerbare bestanden werden in 7,2% van alle kritieke incidenten gebruikt.

Kaspersky MDR-experts namen bovendien het gebruik waar van msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe en shell32.exe.

U kunt hier terecht voor meer resultaten van het Managed Detection and Response Analyst Report.

Tips