- 26,879
- 46
- 8 Ноя 2022
Опубликован список системных инструментов, которые хакеры любят больше всего.
Исследователь безопасности, известный под псевдонимом Magic Claw, опубликовал проект LOLAPI, структурированный каталог системных API, которые злоумышленники используют в атаках. Это база знаний о том, как привычные программные интерфейсы Windows, облачных платформ и браузеров могут превращаться в инструменты взлома.
Идея проста: после того как компании начали блокировать подозрительные исполняемые файлы с помощью политик безопасности вроде WDAC, атакующие все чаще переключаются на другую тактику. Вместо заметных утилит они задействуют встроенные возможности системы: выполняют код через рефлексию в .NET, автоматизируют действия через COM и WMI, обращаются к нативным Windows API, используют API расширений браузеров и сервисы метаданных облачных провайдеров. Снаружи это выглядит как обычная работа легитимных компонентов, из-за чего обнаружение становится сложнее.
Сейчас в каталоге описано более 50 API с высоким потенциалом для злоупотреблений. Среди них двенадцать интерфейсов .NET вроде Process.Start и методов рефлексии, одиннадцать COM-объектов, включая WMI и автоматизацию Office, девять функций нативного Windows API типа VirtualAllocEx и CreateRemoteThread, а также API браузерных расширений и сервисов метаданных AWS, Azure и GCP.
Каждая запись включает описание сценариев злоупотребления, примеры кода, идеи для выявления подозрительной активности, меры защиты и оценку риска. Также указываются связи с техниками MITRE ATT&CK и примеры инструментов или кейсов, где подобные приемы встречались на практике.
Отдельного внимания заслуживает система риск-оценки, которая учитывает серьезность угрозы, простоту эксплуатации, сложность обнаружения и вероятность использования в реальных атаках. Такой подход помогает специалистам по безопасности расставлять приоритеты: что мониторить в первую очередь и где нужны дополнительные ограничения и поведенческие правила.
Проект открыт для сообщества. Данные хранятся в YAML-файлах с валидацией по JSON-схеме, в репозитории есть скрипты для проверки и анализа, а также набор правил обнаружения в форматах Sigma, Splunk и YARA. Разработчик принимает новые записи, но с жесткими требованиями к качеству: нужны проверенные сценарии, рабочие примеры, стратегия обнаружения и ссылки на подтвержденные случаи использования.
Сейчас доступна версия 0.5, а к релизу 1.0 планируется расширить базу до сотни и более API.
Исследователь безопасности, известный под псевдонимом Magic Claw, опубликовал проект LOLAPI, структурированный каталог системных API, которые злоумышленники используют в атаках. Это база знаний о том, как привычные программные интерфейсы Windows, облачных платформ и браузеров могут превращаться в инструменты взлома.
Идея проста: после того как компании начали блокировать подозрительные исполняемые файлы с помощью политик безопасности вроде WDAC, атакующие все чаще переключаются на другую тактику. Вместо заметных утилит они задействуют встроенные возможности системы: выполняют код через рефлексию в .NET, автоматизируют действия через COM и WMI, обращаются к нативным Windows API, используют API расширений браузеров и сервисы метаданных облачных провайдеров. Снаружи это выглядит как обычная работа легитимных компонентов, из-за чего обнаружение становится сложнее.
Сейчас в каталоге описано более 50 API с высоким потенциалом для злоупотреблений. Среди них двенадцать интерфейсов .NET вроде Process.Start и методов рефлексии, одиннадцать COM-объектов, включая WMI и автоматизацию Office, девять функций нативного Windows API типа VirtualAllocEx и CreateRemoteThread, а также API браузерных расширений и сервисов метаданных AWS, Azure и GCP.
Каждая запись включает описание сценариев злоупотребления, примеры кода, идеи для выявления подозрительной активности, меры защиты и оценку риска. Также указываются связи с техниками MITRE ATT&CK и примеры инструментов или кейсов, где подобные приемы встречались на практике.
Отдельного внимания заслуживает система риск-оценки, которая учитывает серьезность угрозы, простоту эксплуатации, сложность обнаружения и вероятность использования в реальных атаках. Такой подход помогает специалистам по безопасности расставлять приоритеты: что мониторить в первую очередь и где нужны дополнительные ограничения и поведенческие правила.
Проект открыт для сообщества. Данные хранятся в YAML-файлах с валидацией по JSON-схеме, в репозитории есть скрипты для проверки и анализа, а также набор правил обнаружения в форматах Sigma, Splunk и YARA. Разработчик принимает новые записи, но с жесткими требованиями к качеству: нужны проверенные сценарии, рабочие примеры, стратегия обнаружения и ссылки на подтвержденные случаи использования.
Сейчас доступна версия 0.5, а к релизу 1.0 планируется расширить базу до сотни и более API.
- Источник новости
- www.securitylab.ru
