LOLBins免杀技术研究及样本分析

LOLBins，全称为“Living-Off-the-Land Binaries”，这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber创造，最终由Philip Goh提出。指的是在目标操作系统上运行受信任的合法进程来执行恶意活动，例如横向移动、权限提升和远程控制等。

通俗来讲，就是大家所熟悉的“白名单”免杀技术。比如常见的Powershell.exe、Certutil.exe和Mshta.exe等程序，都属于LOLBins范畴。在一些APT攻击中，也可以看到使用LOLBins免杀技术进行攻击的活动。比如，海莲花APT组织曾使用微软操作系统自带的程序MSBuild.exe运行远程控制木马，达到免杀的效果。为了达到比较好的免杀效果，LOLBins的选取是有一定要求的。一般来说，需要包含如下特征：

LOLBins为什么可以达到免杀效果？

在解答这个问题之前，我们先了解下杀毒软件的查杀原理。

一般来说，杀毒软件对一个文件会采用多种方法进行查杀。大约可以分为两大类：静态查杀和行为查杀。

静态查杀主要包含病毒特征码、文件属性（HASH、图标、开发者信息）等查杀，指未运行样本采用的文件扫描技术；

行为查杀主要包含沙箱模拟执行、主动防御和人工智能等查杀，是基于程序行为进行分析判断，多端联动的查杀技术。

例如，样本刚“落地”就被杀毒软件查杀了，说明被静态查杀了；如果样本运行起来了，执行某些操作时被查杀了，说明此时样本的危险行为被杀毒软件检测到了。

为什么LOLBins文件可以实现免杀？

这是因为LOLBins一般是正常的程序，对杀毒软件而言，是可信任的程序，所以基本上可以躲过杀毒软件的静态查杀。至于行为查杀，每种杀毒软件的实现、查杀策略多有不同。有的只要是可信任的程序，即使有高危行为也不予查杀；有的则相反，不管是不是可信任的程序，只要有高危行为，也会被查杀。

总的来说，从以下几个方面进行处理，可以实现较好的免杀效果：

1、文件特征

2、内存特征

3、程序行为

4、网络通信

选用LOLBins程序，基本不用考虑文件特征，直接静态免杀，这个是比较好的免杀思路。如果使用流行的黑客工具或者木马，需要对内存中的代码进行加花、混淆，避免内存特征被检测到。对于程序的行为，需要对选取的LOLBins程序进行测试，如果高危行为被查杀了，可以考虑使用其他的LOLBins程序执行高危操作。

网络通信数据避免使用明文，使用加密算法等进行加密，远程服务器尽量伪装为正常的服务器，必要时可以采用CDN，域前置，云函数等手法隐藏服务器IP。

试想，整个恶意活动全程使用LOLBins，形成LOLBins利用链，杀毒软件会报毒吗？

到目前为止，我们已经知道如何免杀的理论知识了。那么接下来逆向分析这个免杀样本，并借鉴它的方法，自己动手实现免杀。

样本名为LiveUpdate.exe，MD5:9050ac019b4c8dddbc5e250bb87cf9f2，这是NetSarang公司XSHELL、XFTP、XMANAGER、XLPD系列工具的更新程序，数字签名正常，如下图所示：

可以看出，这是Lua脚本语言。这个更新程序实际上是一个Lua脚本解析执行引擎，可以自定义Lua代码，实现文件上传、下载，进程管理，注册表管理，服务管理，命令执行等功能，完全可以作为LOLBins，实现免杀。

样本中将CS远程控制木马的Shellcode转化为数字存放在数组中，如下图所示：

基于LOLBins的攻击方法近年来在APT攻击中愈发常见，结合其他免杀技术，免杀效果极好，很难被检测和查杀。杀毒软件也应更新查杀手段，多角度对基于LOLBins的攻击行为进行定向、深入查杀。