Больше не нужно писать вирусы. Рассказываем о проекте LOLAPI, который собрал все «законные» способы взлома
NewsMakerОпубликован список системных инструментов, которые хакеры любят больше всего.
Исследователь безопасности, известный под псевдонимом Magic Claw, опубликовал проект LOLAPI, структурированный каталог системных API, которые злоумышленники используют в атаках. Это база знаний о том, как привычные программные интерфейсы Windows, облачных платформ и браузеров могут превращаться в инструменты взлома.
Идея проста: после того как компании начали блокировать подозрительные исполняемые файлы с помощью политик безопасности вроде WDAC, атакующие все чаще переключаются на другую тактику. Вместо заметных утилит они задействуют встроенные возможности системы: выполняют код через рефлексию в .NET, автоматизируют действия через COM и WMI, обращаются к нативным Windows API, используют API расширений браузеров и сервисы метаданных облачных провайдеров. Снаружи это выглядит как обычная работа легитимных компонентов, из-за чего обнаружение становится сложнее.
Сейчас в каталоге описано более 50 API с высоким потенциалом для злоупотреблений. Среди них двенадцать интерфейсов .NET вроде Process.Start и методов рефлексии, одиннадцать COM-объектов, включая WMI и автоматизацию Office, девять функций нативного Windows API типа VirtualAllocEx и CreateRemoteThread, а также API браузерных расширений и сервисов метаданных AWS, Azure и GCP.
Каждая запись включает описание сценариев злоупотребления, примеры кода, идеи для выявления подозрительной активности, меры защиты и оценку риска. Также указываются связи с техниками MITRE ATT&CK и примеры инструментов или кейсов, где подобные приемы встречались на практике.
Исследователь безопасности, известный под псевдонимом Magic Claw, опубликовал проект LOLAPI, структурированный каталог системных API, которые злоумышленники используют в атаках. Это база знаний о том, как привычные программные интерфейсы Windows, облачных платформ и браузеров могут превращаться в инструменты взлома.
Идея проста: после того как компании начали блокировать подозрительные исполняемые файлы с помощью политик безопасности вроде WDAC, атакующие все чаще переключаются на другую тактику. Вместо заметных утилит они задействуют встроенные возможности системы: выполняют код через рефлексию в .NET, автоматизируют действия через COM и WMI, обращаются к нативным Windows API, используют API расширений браузеров и сервисы метаданных облачных провайдеров. Снаружи это выглядит как обычная работа легитимных компонентов, из-за чего обнаружение становится сложнее.
Сейчас в каталоге описано более 50 API с высоким потенциалом для злоупотреблений. Среди них двенадцать интерфейсов .NET вроде Process.Start и методов рефлексии, одиннадцать COM-объектов, включая WMI и автоматизацию Office, девять функций нативного Windows API типа VirtualAllocEx и CreateRemoteThread, а также API браузерных расширений и сервисов метаданных AWS, Azure и GCP.
Каждая запись включает описание сценариев злоупотребления, примеры кода, идеи для выявления подозрительной активности, меры защиты и оценку риска. Также указываются связи с техниками MITRE ATT&CK и примеры инструментов или кейсов, где подобные приемы встречались на практике.