Détection et neutralisation des attaques via LOLBins sous Windows
IntroductionLes LOLBins (Living Off The Land Binaries) sont des exécutables légitimes natifs de Windows abusés par les attaquants pour mener des actions malveillantes sans déclencher d’alerte. Ils permettent d’exécuter des scripts, de télécharger des charges utiles ou de contourner des politiques de sécurité. Ce tutoriel vous guide dans la détection, la restriction et la surveillance de ces processus afin de renforcer la défense de vos systèmes Windows 10/11.
Prérequis• Bonne connaissance des processus natifs de Windows
• Maîtrise de Group Policy Editor et AppLocker
• Compétences en audit système et analyse de comportement
• Accès administrateur requis
Niveau de difficulté• Étape #1 : Identification des LOLBins les plus utilisés
• Étape #2 : Blocage via AppLocker ou SRP
• Étape #3 : Surveillance en temps réel des exécutions
• Étape #4 : Restriction des paramètres réseau et accès à Internet
• Étape #5 : Analyse comportementale et journalisation
Les Avantages• Étape #1 : Visibilité accrue sur les vecteurs d’intrusion
• Étape #2 : Réduction des mouvements latéraux internes
• Étape #3 : Détection rapide d’abus système
• Étape #4 : Protection contre le téléchargement furtif
• Étape #5 : Renforcement de la sécurité des postes utilisateurs
Les Inconvénients• Étape #1 : Nécessite une analyse régulière des usages
• Étape #2 : Risque d’impacter les administrateurs légitimes
• Étape #3 : Fausse alerte possible avec certains outils métiers
• Étape #4 : Configuration avancée requise
• Étape #5 : Charge administrative de maintenance
Étape #1
Identifier les principaux LOLBins selon MITRE ATT&CK, exemples :
Code:
certutil.exe
Code:
mshta.exe
Code:
wmic.exe
Code:
rundll32.exe
Code:
bitsadmin.exe
Créer une liste de surveillance dans votre SIEM ou outil EDR
Documenter les cas d’usage légitimes pour chaque binaire
Référencer les comportements typiques de détournement Étape #2 Lancer gpedit.msc Aller dans :
Code:
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Contrôle des applications > AppLocker
Code:
certutil.exe
Code:
wmic.exe
Code:
rundll32.exe
Code:
secpol.msc > Stratégie d’audit > Audit des processus de création
Code:
ID 4688
Code:
certutil.exe
Code:
powershell.exe
Code:
bitsadmin.exe
Code:
Microsoft-Windows-Sysmon/Operational
AstuceUtilisez LOLBAS Project comme base de référence pour maintenir à jour la liste des binaires exploitables et mettre en place une surveillance proactive.
Mise en gardeCertains outils d’administration système ou de gestion réseau utilisent aussi les LOLBins à des fins légitimes. Toute restriction doit être précédée d’une analyse fonctionnelle complète.
ConseilDocumentez l’usage de chaque LOLBin dans votre environnement et centralisez les scripts autorisés pour éviter tout contournement par des utilisateurs internes malveillants.
Solutions alternatives• lolbins windows protection
• block certutil mshta windows
• mitre lolbins list
Liens utiles• LOLBAS Project
• MITRE ATT&CK - T1218
• Microsoft AppLocker Documentation
ConclusionL’usage malveillant des binaires Windows natifs constitue une menace furtive difficile à détecter. En identifiant les processus critiques, en les restreignant intelligemment et en surveillant leur activité, vous réduisez considérablement les possibilités d’exploitation par des attaquants internes ou externes.
