2 min to read

LoTL (Ar)

Living Off The Land (in Arabic)

Featured image

سمعت قبل كده عن LOLBin أو LoTL Attacks ؟ ناس بتشوف المصطلحات دي ومش بيوصلهم معناها كويس بالرغم من انها حاجة مش جديدة وموجودة من فترة كبيرة..

مصطلح LOL أو LoTL اختصار ل Living Off The Land تم استخدامه لأول مرة في 2013 في مؤتمر Derbycon 3.0 وقالك انه مصطلح بيتم إطلاقه على الهجمات اللي بيتم فيها استخدام برمجيات شرعية ورسمية متاحة في النظام بشكل افتراضي زي المكتبات اللي بيستعملها الويندوز والتعريفات والأدوات الشرعية اللي فيه بحيث تتفادى عمليات الDetection وتصعّب عمليات الInvestigation والForensics و ده زي ما قلنا لأنها رسمية بالتالي برامج الحماية هتشوفها حاجة عادية وآمنة لما تشتغل خصوصا ان الSignature بتاعتها مفيهاش أي مشكلة بالإضافة لانها تعتبر Fileless يعني مش هتسيب ملفات ضارة وراها في النظام تسهّل اكتشافها او تعقّبها مثلا فيما بعد بعكس الهجمات اللي بيستخدمو فيها Malware بتسيب ملفات كتير في النظام وبتكون نسبة اكتشافها أكبر.

مصطلح LOLBins اختصار لLiving of the Land Binaries وده بيتم إطلاقه على الBinaries الموجودة في النظام بشكل شرعي واللي ممكن يستخدمها الأشرار في تنفيذ نشاطات مختلفة عن غرضها الأصلي زي استغلالها في الهجمات الالكترونية في حجات خاصة بالExploitation (زي Privilege Escalation و Spawning Sells..الخ).. وحقيقةً مصطلح LOLBins ده جه بعد تصويت اتعمل بين مصطلحين LOLBins و LOLScripts كان نفذه أحد الباحثين الأمنيين مع واحد صاحبه و آخرين (مش موضوعنا).

أما LOLBAS ده عبارة عن مشروع بيسجّل ملفات الBinary و الScripts و الLibraries الخاصة بالويندوز واللي ممكن تُستخدم في الLOL Techniques وطبعا ليهم شروط لتصنيف وإضافة الملفات للمشروع بتاعهم زي ان الملف مثلا يكون ملف رسمي من شركة مايكروسوفت سواء موجود في النظام او بيتحمل من خلال الشركة، يكون فيه وظايف مختلفة زي تنفيذ الأكواد البرمجية، وتحميل ورفع ونسخ الملفات، وبيقدر يعمل persistence أو يعدي الUAC او يقدر يعمل dump لل process memory او يقدر يعدل في الlogs او يتفاداها وهكذا... دا بالاضافة لان طريقة تشغيله وتنفيذه تكون مفيدة للAPTs او الRed Teams في العمليات بتاعتهم.

فيه مشروعين غير LOLBAS وهم مشروع GTFOBins الخاص بالUnix Binaries، و مشروع LOLDrivers الخاص بالWindows Drivers بس.

الهجمات اللي بتستخدم الLOL بيبقى صعب إكتشافها بالطرق التقليدية ولازملها حلول أمنية شغالة بالBehavior Analysis مش الSignatures، زي الEDRs مثلا بالإضافة لاستخدام الThreat Hunting.