🔍 در ادامه‌ی بررسی روش‌های پیشرفته دور زدن EDRدر سری مقالات راهنمای جامع دور زدن EDR توسط بدافزارها، این بار به یکی از شایع‌ترین و در عین حال نادیده‌ گرفته‌ شده‌ترین تکنیک‌ها می‌پردازیم: استفاده از ابزارهای قانونی سیستم یا همان LOLBins .

 در این روش، مهاجم با سوءاستفاده از ابزارهای امضاشده و قابل‌اعتماد ویندوزمانند PowerShell، CertUtil یا Rundll32، حملات پیچیده‌ای را اجرا می‌کند؛ بدون اینکه فایل مشکوکی ایجاد کند یا توجه امنیتی خاصی جلب شود. این نوع حملات، به‌ویژه برای EDRهایی که صرفاً به تشخیص فایل‌محور یا لیست ابزارهای مشکوک متکی‌اند، یک کابوس واقعی محسوب می‌شوند.

مطالب مرتبط: آشنایی جامع با EDR و دلایل استفاده از آن به جای آنتی‌ویروس

📌 معرفی تکنیک LOLBins

در حملاتی که با عنوان LOLBins  شناخته می‌شوند (مخفف Living off the Land Binaries and Scripts)، مهاجم دیگر نیازی به نصب یا اجرای بدافزارهای ناشناخته و قابل‌ردیابی ندارد. بلکه به‌جای آن، از خودِ ابزارهای قانونی و از پیش نصب‌شده ویندوز به عنوان «سلاح» استفاده می‌کند؛ ابزارهایی که برای مدیریت سیستم طراحی شده‌اند اما می‌توانند به راحتی در مسیر حمله قرار بگیرند.

برای مثال، ابزار powershell.exe که برای خودکارسازی کارهای IT طراحی شده، به مهاجم این امکان را می‌دهد که بدون ایجاد هیچ‌گونه فایل مشکوک، از راه دور کد مخرب اجرا کند یا در حافظه Shellcode تزریق کند. یا ابزار certutil.exe که وظیفه اصلی آن مدیریت گواهی‌های دیجیتال است، می‌تواند در حمله به‌عنوان یک Downloader برای دریافت فایل‌های مخرب از اینترنت استفاده شود.

مهاجم با اجرای این ابزارها از طریق خط فرمان یا اسکریپت‌های ساده، می‌تواند:

✔️ کد خود را در حافظه سیستم تزریق کند،

✔️ بدون نیاز به دانلود فایل، دستورات را مستقیماً اجرا کند،

✔️ و با سرور فرمان (C2) خود ارتباط بگیرد، بدون اینکه آنتی‌ویروس یا حتی برخی EDRها متوجه چیزی بشوند.

دلیل موفقیت این تکنیک قانونی و امضاشده بودن این ابزارهاست؛ چراکه در بسیاری از شرکت‌ها، این برنامه‌ها بخشی از فعالیت‌های روزمره هستند و مسدود کردن کامل آن‌ها می‌تواند باعث اختلال در عملیات IT شود. در نتیجه، این ابزارها در پس‌زمینه سیستم با دسترسی بالا در حال اجرا هستند، بی‌آنکه همیشه تحت نظارت دقیق رفتار قرار گیرند.

🚨 چرا این تکنیک مؤثر و محبوب است؟

✔️ ابزارهای مورد استفاده، دارای امضای دیجیتال معتبر مایکروسافت هستند و اغلب توسط سیستم‌عامل یا آنتی‌ویروس‌ها قابل‌اعتماد محسوب می‌شوند.

✔️ بسیاری از EDRها قادر نیستند تنها با اتکا به نام ابزار یا مسیر اجرایی، رفتارهای مخرب را از رفتارهای قانونی تفکیک کنند.

✔️ در این تکنیک معمولاً فایلی روی دیسک ایجاد نمی‌شود یا تنها به صورت موقت است، که باعث می‌شود شناسایی فایل‌محور بی‌اثر شود.

✔️ سازمان‌ها نمی‌توانند این ابزارها را به‌طور کامل غیرفعال کنند، زیرا در بسیاری از فرآیندهای روزانه سازمانی کاربرد دارند.

🔧 ابزارهای رایج در حملات LOLBins

🎯 نمونه‌های واقعی از حملات LOLBins

🛡 🔍 چرا شناسایی تکنیک LOLBins برای EDR دشوار است؟

تکنیک‌های مبتنی بر LOLBins برای بسیاری از راهکارهای امنیتی، به‌ویژه EDRهای کلاسیک، چالش‌برانگیز هستند و دلایل اصلی این دشواری به شرح زیر است:

✔️ اعتماد ذاتی سیستم‌عامل به ابزارها: ابزارهایی مثل PowerShell، WMIC، Rundll32 و CertUtil نه تنها بخشی از سیستم‌عامل هستند، بلکه توسط مایکروسافت امضاشده‌اند. این باعث می‌شود که EDR به‌صورت پیش‌فرض آن‌ها را در دسته‌ی "قابل‌اعتماد" طبقه‌بندی کند و نسبت به اجرای آن‌ها حساسیت کمتری نشان دهد.

✔️ استفاده گسترده در فعالیت‌های قانونی: بسیاری از این ابزارها به‌طور روزمره توسط تیم‌های IT و سیستم‌های اتوماسیون سازمان‌ها استفاده می‌شوند. بنابراین، اگر EDR صرفاً بر اساس "چه ابزاری اجرا شده" تصمیم بگیرد، قادر به تمایز بین یک عملیات مشروع و یک حمله نخواهد بود.

✔️ نیاز به تحلیل رفتاری و زمینه‌ای (Contextual & Behavioral Analysis): تشخیص سوءاستفاده از LOLBins مستلزم بررسی دقیق چگونگی استفاده از ابزار است، نه صرفاً چه ابزاری اجرا شده. به‌عنوان مثال:

🔸 آیا powershell.exe در حالت مخفی )-WindowStyle Hidden( اجرا شده؟

🔸 آیا دستوراتی از نوع iex (New-Object Net.WebClient).DownloadString(...) اجرا شده؟

🔸 آیا certutil.exe به آدرس‌های خارجی متصل شده یا فایلی را decode کرده؟

این سطح از تحلیل، نیازمند درک زمینه، شناسایی ناهنجاری‌ها، تحلیل پارامترهای اجرایی و همبست‌سازی رفتار با دیگر رویدادهاست؛ قابلیتی که تنها در EDRهای پیشرفته یا SIEMهای هوشمند با قوانین سفارشی‌سازی‌شده به‌خوبی امکان‌پذیر است.

✔ راهکارهای پیشگیرانه برای مدیران امنیت و تیم SOC

🧠  نکته کلیدی برای مدیران امنیت اطلاعات

✅  مسدودسازی کامل ابزارهای بومی ویندوز مثل PowerShell یا WMIC نه‌تنها عملی نیست، بلکه ممکن است منجر به اختلال جدی در عملیات روزمره سازمان شود.
این ابزارها بخشی حیاتی از عملکرد سیستم‌عامل و تیم‌های IT هستند؛ بنابراین رویکرد مؤثر، نه حذف، بلکه کنترل هوشمندانه و مشروط‌سازی استفاده از آن‌هاست.

🎯  راهکار چیست؟

با بهره‌گیری از مکانیزم‌هایی چون:

🔸 AppLocker یا Windows Defender Application Control (WDAC) : برای محدود کردن دسترسی کاربران به اجرای این ابزارها با قواعد مبتنی بر امضا یا موقعیت.

🔸 EDRهای نسل جدید با تحلیل رفتاری (Behavioral Analysis)  :جهت پایش نحوه استفاده از LOLBins و تشخیص رفتارهای غیرعادی حتی در ابزارهای قابل‌اعتماد.

🔸 قوانین سفارشی در SIEM یا XDR : برای همبست‌سازی فعالیت‌های مشکوک مرتبط با اجرای این ابزارها (مانند دانلود فایل از اینترنت یا اجرای کدهای رمزنگاری‌شده).

✅ امنیت مؤثر در برابر LOLBins نیازمند ترکیبی از دید، کنترل و تحلیل است نه مسدودسازی صرف.

🔚 جمع‌بندی تکنیک LOLBins

حملات مبتنی بر LOLBins از خطرناک‌ترین روش‌های دور زدن EDR محسوب می‌شوند؛ چراکه در ظاهر هیچ‌گونه رفتار مخربی ندارند و تنها زمانی قابل‌شناسایی‌اند که رفتار اجرایی آن‌ها به‌درستی تحلیل شود.
تنها راه دفاع مؤثر، ترکیبی از ابزارهای Context-Aware Monitoring، محدودسازی هوشمند اجرای ابزارها، و آموزش تخصصی تیم‌های امنیتی است.

📌 در بخش بعدی این مجموعه، به یکی از تهاجمی‌ترین تکنیک‌ها خواهیم پرداخت:
غیرفعال‌سازی مستقیم  | EDR جایی که مهاجم به‌جای دور زدن، مستقیماً خود سیستم دفاعی را هدف می‌گیرد.

جهت مشاهده کامل سری مقالات راهنمای جامع دور زدن EDR توسط بدافزارها، اینجا کلیک کنید.