I LOLBins, abbreviazione di “Living Off the Land Binaries”, sono strumenti legittimi del sistema operativo o utilità integrate che gli attaccanti abusano per svolgere attività malevole. Tra gli esempi ci sono downloader da riga di comando, host di scripting e strumenti di trasferimento file. Poiché questi programmi sono firmati, installati per impostazione predefinita e comunemente usati dagli amministratori, la loro attività può sembrare normale a colpo d’occhio.
I LOLBins sono importanti perché aiutano gli attaccanti a ridurre i sospetti, aggirare alcune regole di controllo delle applicazioni ed evitare di rilasciare malware evidente. Nelle intrusioni reali, vengono spesso usati per scaricare payload, eseguire script, predisporre file o instradare un’azione attraverso un altro processo affidabile. I difensori cercano righe di comando insolite, catene processo padre-figlio rare, destinazioni di rete inattese e l’abuso di strumenti che non dovrebbero comparire in quell’ambiente. Una registrazione dettagliata, la allowlist delle applicazioni e la limitazione delle utilità non necessarie possono rendere molto più facile rilevare e bloccare l’abuso dei LOLBin.