0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Больше не нужно писать вирусы. Рассказываем о проекте LOLAPI, который собрал все «законные» способы взлома

LOLAPI Magic Claw living off the land Windows API детектирование
Больше не нужно писать вирусы. Рассказываем о проекте LOLAPI, который собрал все «законные» способы взлома
LOLAPI Magic Claw living off the land Windows API детектирование

Опубликован список системных инструментов, которые хакеры любят больше всего.

image

Исследователь безопасности, известный под псевдонимом Magic Claw, опубликовал проект LOLAPI, структурированный каталог системных API, которые злоумышленники используют в атаках. Это база знаний о том, как привычные программные интерфейсы Windows, облачных платформ и браузеров могут превращаться в инструменты взлома.

Идея проста: после того как компании начали блокировать подозрительные исполняемые файлы с помощью политик безопасности вроде WDAC, атакующие все чаще переключаются на другую тактику. Вместо заметных утилит они задействуют встроенные возможности системы: выполняют код через рефлексию в .NET, автоматизируют действия через COM и WMI, обращаются к нативным Windows API, используют API расширений браузеров и сервисы метаданных облачных провайдеров. Снаружи это выглядит как обычная работа легитимных компонентов, из-за чего обнаружение становится сложнее.

Сейчас в каталоге описано более 50 API с высоким потенциалом для злоупотреблений. Среди них двенадцать интерфейсов .NET вроде Process.Start и методов рефлексии, одиннадцать COM-объектов, включая WMI и автоматизацию Office, девять функций нативного Windows API типа VirtualAllocEx и CreateRemoteThread, а также API браузерных расширений и сервисов метаданных AWS, Azure и GCP.

Каждая запись включает описание сценариев злоупотребления, примеры кода, идеи для выявления подозрительной активности, меры защиты и оценку риска. Также указываются связи с техниками MITRE ATT&CK и примеры инструментов или кейсов, где подобные приемы встречались на практике.

Отдельного внимания заслуживает система риск-оценки, которая учитывает серьезность угрозы, простоту эксплуатации, сложность обнаружения и вероятность использования в реальных атаках. Такой подход помогает специалистам по безопасности расставлять приоритеты: что мониторить в первую очередь и где нужны дополнительные ограничения и поведенческие правила.

Проект открыт для сообщества. Данные хранятся в YAML-файлах с валидацией по JSON-схеме, в репозитории есть скрипты для проверки и анализа, а также набор правил обнаружения в форматах Sigma, Splunk и YARA. Разработчик принимает новые записи, но с жесткими требованиями к качеству: нужны проверенные сценарии, рабочие примеры, стратегия обнаружения и ссылки на подтвержденные случаи использования.

Сейчас доступна версия 0.5, а к релизу 1.0 планируется расширить базу до сотни и более API.