حمله‌های LOLBin چیست؟ راهنمای کامل برای تیم‌های SOC — همراه مثال‌های واقعی

بسیاری از حملات سایبری با یک انفجار شروع می‌شوند؛ اما حملات LOLBin بی‌سروصدا وارد شبکه می‌شوند، درست مثل زمانی که مهاجم از کلیدهای خودتان برای ورود استفاده می‌کند.
در این روش، ابزارهای کاملاً قانونی ویندوز ناگهان رفتارهایی نشان می‌دهند که به وظایف واقعی آن‌ها شباهت ندارند:
ماژول‌های ناشناخته بارگذاری می‌کنند، فایل‌هایی را رمزگشایی می‌کنند که نباید رمزگشایی شوند، یا بی‌صدا یک PowerShell پنهان اجرا می‌کنند.

همه‌چیز عادی به نظر می‌رسد، اما چند لایه پایین‌تر، بار مخرب (Payload) در حال آماده‌شدن است.
چالش اصلی برای تحلیلگران SOC این است که این تغییر رفتار کوچک را پیش از تبدیل‌شدن به یک حادثه، تشخیص دهند.

در این مقاله، روت‌نت به بررسی فنی حملات LOLBin، آسیب‌پذیری‌هایی که ایجاد می‌کنند و مثال‌های واقعی از نحوه اجرای آن‌ها می‌پردازد. همچنین نشان می‌دهیم که چگونه تیم‌های SOC می‌توانند این حملات را در چند دقیقه شناسایی کنند.

حملات LOLBin چیست؟

LOLBin مخفف Living-Off-The-Land Binaries است؛ ابزارها یا باینری‌های داخلی ویندوز که به صورت طبیعی در سیستم وجود دارند، امضاء دیجیتال معتبر دارند و توسط نرم‌افزارهای قانونی استفاده می‌شوند.

مهاجمان از باینری‌های قانونی مانند موارد زیر سوءاستفاده می‌کنند:

• rundll32.exe

• certutil.exe

• mshta.exe

• powershell.exe

• regsvr32.exe

• wmic.exe

• cmstp.exe

و ده‌ها مورد دیگر.

به وسیله این باینری‌ها، مهاجمان می‌توانند:

• DLLهای مخرب اما تغییرنام‌داده را بارگذاری کنند

• Payloadها را رمزگشایی یا Unpack کنند

• PowerShell را غیرمستقیم اجرا کنند

• کد را کاملاً در حافظه اجرا کنند (Fileless Execution)

• فعالیت‌های مخرب را در میان رفتارهای عادی سیستم مخفی کنند

این ویژگی‌ها باعث می‌شود مراحل اولیه حمله تقریباً کاملاً قانونی به نظر برسند.

چرا حملات LOLBin برای کسب‌وکارها خطرناک هستند؟

مشکل اصلی، خود باینری‌ها نیستند، بلکه مخفی‌کاری رفتاری آن‌هاست.
وقتی فعالیت مخرب داخل ابزارهای معتبر اجرا شود، دید SOC به شدت کاهش پیدا می‌کند.

مهم‌ترین دلایل خطرناک بودن این حملات عبارتند از:

1. رفتار کاملاً طبیعی در ظاهر

ابزارهایی مثل rundll32 یا mshta همیشه در سیستم وجود دارند؛ بنابراین اجرای آن‌ها معمولاً هشدار ایجاد نمی‌کند.

2. آثار کم‌حجم یا تقریباً صفر

بسیاری از حملات LOLBin Fileless هستند و شواهد قابل‌استناد کمی باقی می‌گذارند.

3. دورزدن Signature-based Detection

چون باینری‌ها توسط مایکروسافت امضا شده‌اند، موتورهای امنیتی به‌سختی تشخیص می‌دهند که سوءاستفاده شده است.

4. افزایش زمان حضور مهاجم

مهاجم زمان بیشتری برای Lateral Movement، Credential Harvesting و Privilege Escalation به‌دست می‌آورد.

5. تقاضای بیشتر از تیم SOC

تحلیلگر باید رفتارها را بررسی کند، نه صرفاً هشدارها را؛ کاری که منابع بیشتری مصرف می‌کند و روند پاسخ‌گویی را طولانی‌تر می‌سازد.

نمونه‌های واقعی از حملات LOLBin (RUNDLL32، CERTUTIL، MSHTA)

در ادامه سه نمونه واقعی از حملات LOLBin را بررسی می‌کنیم تا روند آن‌ها شفاف‌تر شود.

۱. حمله LOLBin توسط RUNDLL32.EXE — تکنیک T1218.011

ماهیت حمله

rundll32.exe ابزاری قانونی برای فراخوانی DLLهاست؛ اما مهاجمان از آن برای بارگذاری DLLهای مخرب و اجرای کد سوءاستفاده می‌کنند.

مثال واقعی

در یک حمله واقعی مربوط به Gh0st RAT:

• rundll32.exe یک ماژول ناشناس با پسوند عجیب .rfg بارگذاری می‌کند

• یک Export به نام RAFlush اجرا می‌شود

• فایل مخربی در مسیر %Temp% اجرا می‌گردد

• سپس آثار پاک‌سازی می‌شوند

الگوی رفتاری مشکوک

• بارگذاری DLL از مسیر غیرمعمول مانند Temp

• نام‌گذاری تصادفی یا بدون پسوند استاندارد

• وجود Export غیرمعمول

• ایجاد Processهای Chain مشکوک

۲. حمله LOLBin توسط CERTUTIL.EXE — تکنیک T1140

ماهیت حمله

certutil.exe ابزاری برای مدیریت گواهی‌هاست؛ اما مهاجمان آن را برای Decode, Transform یا Drop Payload استفاده می‌کنند.

مثال واقعی

در حمله PXAStealer:

• یک فایل PDF جعلی به فایل RAR تبدیل می‌شود

• WinRAR تغییرنام‌داده‌شده (با نام JPEG) آن را استخراج می‌کند

• Payload اصلی اجرا می‌شود

• سپس فایل‌ها پاک یا پنهان می‌شوند

نشانه‌های رفتاری

• certutil با پارامتر -decode

• تبدیل فایل با پسوند قانونی به قالب دیگر

• اجرای ابزارهای Extraction تغییرنام‌داده‌شده

• رمز عبورهای ثابت برای بازکردن آرشیو

۳. حمله LOLBin توسط MSHTA.EXE — تکنیک T1218.005

ماهیت حمله

mshta.exe برای اجرای فایل‌های HTA استفاده می‌شود. مهاجمان آن را برای اجرای PowerShell مخفی، کدگذاری‌شده و کاملاً در حافظه استفاده می‌کنند.

مثال واقعی

در یک نمونه ReverseLoader:

• mshta یک فایل gg.hta را اجرا می‌کند

• HTA فوراً یک PowerShell مخفی با پارامترهایی مانند
  -NoProfile -WindowStyle Hidden
  راه‌اندازی می‌کند

• یک رشته Base64 رمزگشایی و اجرا می‌شود

• تمام عملیات در حافظه انجام می‌گیرد

نشانه‌های رفتاری

• PowerShell بدون پنجره

• رشته‌های Base64

• اجرای HTA از مسیر دسکتاپ یا Temp

• اجرای زنجیره‌ای چندین ابزار قانونی

چگونه تیم‌های SOC می‌توانند حملات LOLBin را شناسایی کنند؟

1. تمرکز بر «رفتار» به‌جای «نام فایل»

اینکه rundll32 اجرا شده است، مهم نیست؛
اینکه چه چیزی بارگذاری کرده اهمیت دارد.

2. تحلیل Parent–Child Chain

مسیر اجرا باید همیشه منطقی باشد.
مثلاً mshta → powershell → unknown.exe یک زنجیره که باید بررسی شود.

3. بررسی Command Line

هر جا Base64، DLLهای مشکوک، Flags پنهان، مسیرهای غیرمعمول یا فضاگذاری‌های عجیب دیدید، باید هشدار بدهید.

4. استفاده از Sandbox برای تحلیل سریع

Sandbox به تیم SOC کمک می‌کند:

• رفتار لحظه‌ای را مشاهده کند

• فایل‌های Decode‌شده را دریافت کند

• فعالیت‌های حافظه را شناسایی کند

• زنجیره حمله را بازسازی نماید

این روش، تحلیل را از چند ساعت به چند دقیقه کاهش می‌دهد.

5. اعمال محدودیت‌های کوچک اما مؤثر

• جلوگیری از اجرای باینری‌ها از مسیرهای کاربری

• اعمال Constrained Language Mode روی PowerShell

• فعال‌سازی Logging سطح بالا مثل Script Block Logging

این اقدامات، سطح حمله را کاهش می‌دهد بدون اینکه تجربه کاربر مختل شود.

جمع‌بندی

حمله‌های LOLBin یکی از شایع‌ترین و پنهان‌ترین روش‌های اجرای کد مخرب هستند.
چرا که در ظاهر، همه‌چیز کاملاً عادی است.
اما با داشتن دید رفتاری، تحلیل زنجیره فرآیندها و استفاده از ابزارهای Sandbox می‌توان این حملات را در چند دقیقه شناسایی کرد.

 خدمات امنیت روت‌نت برای مقابله با حملات LOLBin

تیم امنیت سایبری روت‌نت، با تجربه در بررسی صدها حمله واقعی، به سازمان‌ها کمک می‌کند:

• شناسایی سوءاستفاده از LOLBins

• طراحی Detectionهای رفتاری

• تحلیل Sandbox و مهندسی معکوس

• کاهش زمان پاسخ (MTTR)

• ساخت Playbookهای تخصصی برای تیم SOC

📞 برای مشاوره امنیتی یا پیاده‌سازی راهکارهای SOC با ما تماس بگیرید:
www.rootnet.ir/security