https://forum.antichat.xyz/attachmen...3f92fb60ba.png

Ваш EDR не сработал. Антивирус молчит. На диск не упал ни один подозрительный файл - а атакующий уже дампит LSASS и двигается по сети, используя исключительно бинарники, которые Microsoft поставляет с каждой копией Windows. По данным CrowdStrike Global Threat Report 2025, 79% обнаружений (detections) CrowdStrike в 2024 году были malware-free - то есть использовали валидные учётные записи, RMM-инструменты и/или LOTL-техники, - против 40% в 2019-м. Анализ Bitdefender по 700 000 инцидентов показывает, что 84% высокоприоритетных атак задействуют технику Living off the Land. Ваши штатные утилиты -
,
,
- это не просто инструменты администратора. Это арсенал, который уже используется против вас.

Эта статья - хаб-страница, с которой вы попадёте в любую точку темы: от конкретных команд пост-эксплуатации до обхода AMSI и закрепления через COM-hijacking. Ниже - карта всего кластера.
Карта темы: навигация по кластеру

#ПодтемаПодробный разбор1Справочник LOLBins-команд для каждого этапа kill chainLOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов2Перемещение по сети через WMI, PSRemoting, DCOMLateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике3Повышение привилегий через мисконфигурации и токеныПовышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике4Свежие LPE-уязвимости из Patch Tuesday 2026Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации5Обход Defender, AMSI и техники defense evasionОбход Windows Defender и AMSI: практический гайд по defense evasion для Red Team6Механизмы закрепления: реестр, планировщик, WMI, COMТехники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team7Обход EDR через уязвимые драйверы (BYOVD)BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году

Что такое Living off the Land и почему 79% атак обходятся без малвари
Living off the Land (LOTL) - стратегия атаки, при которой злоумышленник выполняет всю цепочку kill chain, используя легитимные инструменты, уже присутствующие в целевой системе. Вместо загрузки собственного бэкдора или RAT оператор применяет подписанные Microsoft бинарники - те самые LOLBins (Living Off the Land Binaries) - для скачивания полезной нагрузки, выполнения кода в памяти, перемещения по сети и закрепления.

Термин появился около 2013 года, но взрывной рост начался после 2019. Причины - экономические и тактические:

• Инвестиции в EDR выросли - CrowdStrike, Defender for Endpoint, SentinelOne стали стандартом. Классический дроппер на диске живёт секунды.
  
• LOLBins доверенные - подписаны Microsoft, входят в белые списки AppLocker, не вызывают срабатываний EPP по умолчанию.
  
• Нет IOC файлового уровня - хэши бинарников совпадают с легитимными. Сигнатурный анализ бессилен.
  
• Удешевление операций - атакующему не нужно разрабатывать и поддерживать custom tooling.

Проект LOLBAS на GitHub каталогизирует более 200 Windows-бинарников с задокументированным потенциалом злоупотребления. Параллельно существуют GTFOBins (Linux), LOOBins (macOS) и LOLDrivers (уязвимые подписанные драйверы для атак на уровне ядра).

С точки зрения MITRE ATT&CK, ядро LOTL - это техника T1218 System Binary Proxy Execution (тактика Defense Evasion, платформа Windows): атакующий проксирует выполнение произвольного кода через доверенный системный бинарник, чтобы обойти средства защиты. Но в реальной кампании LOTL покрывает и Execution (T1059.001 PowerShell, T1059.003 Windows Command Shell, T1047 WMI), и Command and Control (T1105 Ingress Tool Transfer), и Credential Access (T1003.001 LSASS Memory), и Privilege Escalation (T1134, T1055), и Persistence. Для cmd.exe (T1059.003) LOLBAS также документирует T1048.003, T1105 и T1564.004.

Ключевое, что нужно понять: LOTL - не отдельный трюк, а философия построения всей цепочки атаки. Конкретные команды и флаги для каждого этапа мы детально разобрали в нашей шпаргалке: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.
7 LOLBins, которые определяют ландшафт атак в 2026 году
Не все LOLBins одинаково опасны. Ниже - бинарники, которые я стабильно встречаю в реальных Red Team-кампаниях и разборах инцидентов. Для каждого - суть злоупотребления, текущий статус детектирования и маппинг на ATT&CK.
certutil.exe - швейцарский нож пост-эксплуатации
Штатная утилита управления сертификатами. Умеет скачивать файлы из интернета (
), кодировать и декодировать Base64 (
/
). В 2025 году
использовался группой Storm-2460 для скачивания вспомогательных компонентов на ранних стадиях кампании PipeMagic, в которой отдельно эксплуатировалась CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8, CWE-416) для повышения привилегий - против целей в США, Испании, Венесуэле и Саудовской Аравии.

Статус детектирования: большинство EDR алертят на
. Но многие организации до сих пор не заблокировали этот паттерн, и утилита остаётся в цепочках доставки.
mshta.exe - выполнение скриптов без файлов на диске
Microsoft HTML Application Host исполняет
-файлы - по сути HTML с встроенным VBScript/JScript. Атакующий указывает URL удалённого
, и код исполняется в памяти без создания файла на диске. В Q3 2025 оператор ransomware использовал
с inline-скриптом для модификации ключей реестра для персистенции, при этом окно приложения было задано размером в 2 пикселя - невидимо для пользователя.

Статус детектирования: Parent-child relationships (
порождает
или
) хорошо сигнатурированы. Inline-скрипты ловятся хуже без полного логирования командной строки.
regsvr32.exe - техника Squiblydoo жива и в 2026
Регистрирует COM-компоненты. Может загружать и исполнять удалённый
(scriptlet) файл. Этот приём, получивший имя «Squiblydoo» ещё в 2016 году (T1218.010 Regsvr32), по-прежнему работает, потому что
- доверенный бинарник, который обходит правила AppLocker типа «запускать только подписанные исполняемые файлы».
rundll32.exe - proxy execution и дамп LSASS без Mimikatz
Выполняет экспортированные функции из DLL (T1218.011). Один из самых импактных сценариев: вызов
для дампа памяти процесса LSASS (требуются права локального администратора с SeDebugPrivilege, который включается по умолчанию в токене admin при elevated-запуске). Здесь комбинируются две техники ATT&CK: rundll32 как proxy execution - T1218.011 (согласно LOLBAS, также T1564.004), а дамп LSASS через comsvcs.dll - T1003.001. Важно: если LSASS защищён как Protected Process Light (RunAsPPL включён в
) или активирован Credential Guard, MiniDump через comsvcs.dll вернёт Access Denied даже у администратора - потребуется предварительный bypass PPL, например через BYOVD. Без загрузки Mimikatz или любого стороннего инструмента это чистый LOLBin, и его сложнее обнаружить, когда DLL загружается с локального диска, а не по сети.
msiexec.exe - удалённый инсталлятор как дроппер
Указываете URL -
- и он скачивает и устанавливает MSI-пакет (T1218.007). Этот вектор (T1218.007) задокументирован в различных кампаниях по доставке вредоносного ПО, включая commodity-загрузчики и RAT.
forfiles.exe - порождение процессов в обход мониторинга parent-child
Запускает команду для каждого файла, соответствующего паттерну. Используется как прокси для запуска других бинарников, потому что часть EDR-правил отслеживает, кто породил процесс, а
сбивает эту цепочку. Именно эта техника применялась в кампании Remcos/NetSupport RAT в январе 2026 года.
MAVInject.exe - LOLBin уровня nation-state
Microsoft Application Virtualization Injector. В феврале 2025 года Trend Micro и Mandiant задокументировали, как APT-группа Mustang Panda (Earth Preta) использовала
для инъекции DLL в запущенные процессы (T1218.013 Mavinject). Техника целенаправленно применялась на машинах с установленным ESET: инъекция в процесс
позволяла бэкдору TONESHELL работать внутри доверенного процесса. Этот бинарник настолько малоизвестен, что большинство Security-команд никогда о нём не слышали, а покрытие детектирования - минимальное.

Отдельного внимания заслуживают

Код:

---

curl.exe

---

и

Код:

---

tar.exe

---

- оба нативно включены в Windows 10 с 2018 и 2019 годов соответственно. Подписаны Microsoft, большинство baseline считает их безопасными, а поведенческие правила EDR для них значительно менее зрелые, чем для
или
.

Полный справочник команд с флагами, описанием действий на уровне API и статусом детектирования: LOLBAS шпаргалка: команды пост-эксплуатации Windows без сторонних инструментов.
Анатомия полной LOLBin-цепочки: от фишинга до RAT без единого вредоносного файла
Теория - это хорошо, но LOTL становится по-настоящему опасным, когда LOLBins объединяются в цепочку. Январская кампания 2026 года по доставке Remcos и NetSupport RAT, задокументированная Malwarebytes, - один из самых чистых примеров.

Весь kill chain от фишингового письма до персистентного RAT использовал ноль custom malware вплоть до финального пейлоада. Каждый шаг выполнялся подписанным Microsoft бинарником или легитимным приложением:

1. Начальный доступ - фишинговое письмо с вложением
   
2. Execution -
   
   Код:

   ---

   mshta.exe

   ---

   исполняет inline HTA-скрипт
   
3. Загрузка -
   
   Код:

   ---

   curl.exe

   ---

   скачивает архив с пейлоадом
   
4. Распаковка -
   
   Код:

   ---

   tar.exe

   ---

   извлекает содержимое (T1105 Ingress Tool Transfer)
   
5. Proxy Execution -
   
   Код:

   ---

   forfiles.exe

   ---

   порождает следующий бинарник, разрывая цепочку parent-child
   
6. Финальная доставка - троянизированное легитимное приложение (glaxnimate.exe) загружает RAT

Ни один шаг не содержит файла, который традиционный антивирус пометит как вредоносный. Каждый бинарник либо подписан Microsoft, либо является легитимным open-source-приложением.

Это именно та модель, которую я использую при построении Red Team-кампаний в Cobalt Strike и Sliver: C2-фреймворк отдаёт команды, но каждое действие на хосте выполняется руками штатных утилит Windows.
Закрепление в системе: Persistence без сторонних EXE
После первоначального доступа атакующему нужно пережить перезагрузку. В LOTL-парадигме для этого используются встроенные механизмы Windows:

• Планировщик задач -
  
  Код:

  ---

  schtasks /create

  ---

  создаёт задачу, выполняющую PowerShell-скрипт. Для Blue Team это выглядит как рутинная задача автоматизации.
  
• WMI Event Subscriptions - триггер на событие (например, вход пользователя) + действие (запуск команды). Персистенция без файлов на диске (T1047).
  
• Ключи реестра Run/RunOnce - классический, но по-прежнему рабочий вектор. Добавление записи в
  
  Код:

  ---

  HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  ---

  требует одной команды
  
  Код:

  ---

  reg add

  ---

  .
  
• COM Hijacking - подмена CLSID в реестре для перехвата загрузки легитимного COM-объекта. Один из самых скрытных механизмов, потому что вызов происходит в контексте доверенного процесса.

Все эти техники объединяет одно: они не требуют загрузки стороннего исполняемого файла, используют штатный API Windows и оставляют артефакты в местах, которые многие организации не мониторят с достаточной детализацией.

Подробный разбор каждого механизма с командами и детектами: Техники закрепления в Windows: реестр, планировщик, WMI и COM-hijacking для Red Team.
Lateral Movement нативными инструментами Windows: WMI, DCOM и PSRemoting
Когда оператор закрепился на одном хосте, следующая задача - распространение по сети. И здесь LOTL раскрывается в полную силу. Всё, что нужно для Lateral Movement, уже есть в Windows:

• WMI (T1047) -
  
  Код:

  ---

  wmic /node: process call create "cmd /c ..."

  ---

  запускает произвольную команду на удалённом хосте через RPC. Выглядит как штатное администрирование.
  
• PowerShell Remoting (WinRM) -
  
  Код:

  ---

  Invoke-Command -ComputerName  -ScriptBlock { ... }

  ---

  открывает сессию на удалённой машине. Если WinRM включён (а в доменной среде это часто по умолчанию), атакующему не нужно ничего загружать.
  
• DCOM - Distributed COM позволяет вызывать методы COM-объектов на удалённых хостах. Менее мониторится, чем WMI и PSRemoting, что делает его привлекательным для операторов.
  
• RDP с украденными учётными данными - протокол Remote Desktop, штатный инструмент любого Windows-администратора.

Группа Volt Typhoon (китайская APT), по данным CISA и Five Eyes, использовала именно этот набор: PowerShell, WMIC, netsh, ntdsutil - для разведки, кражи учётных данных и перемещения по сети. Без custom malware. В некоторых средах доступ сохранялся более пяти лет до обнаружения.

Ключевая проблема для защитников: все перечисленные протоколы - это легитимный административный трафик. Различить сисадмина и атакующего можно только по контексту: время суток, сочетание команд, частота обращений к нетипичным хостам.

Отдельную проблему представляет lateral movement через доверенные учётные записи: когда атакующий использует валидные credentials, EDR не видит аномалии на уровне процессов - весь трафик выглядит как легитимное администрирование. Подробно о том, почему средства защиты молчат в таких сценариях и как их всё же обнаружить: Lateral movement через доверенные учётные записи.

Пошаговые сценарии с разбором на уровне сетевых протоколов: Lateral Movement в Windows без малвари: WMI, PSRemoting и DCOM на практике.
Повышение привилегий: от пользователя до SYSTEM встроенными средствами
Оказавшись на хосте с правами обычного пользователя, оператор LOTL повышает привилегии без загрузки эксплойтов. Основные вектора:

Мисконфигурации служб и разрешений. Если служба запускается от имени SYSTEM и имеет writable-путь к бинарнику, достаточно подменить исполняемый файл. Для обнаружения таких служб не нужен сторонний инструмент:
,
- всё это штатные утилиты Windows.

Обход UAC. User Account Control - не граница безопасности, а уровень удобства. Существуют десятки задокументированных обходов UAC (T1548.002) через auto-elevate бинарники, и многие из них - LOLBins:
,
,
.

Манипуляция токенами (T1134.001 Token Impersonation/Theft).
у сервисных аккаунтов позволяет олицетворять токен SYSTEM. Техники семейства Potato (PrintSpoofer, GodPotato, JuicyPotatoNG) эксплуатируют именно это.

Свежие CVE из Patch Tuesday. Уязвимости LPE (Local Privilege Escalation) выходят ежемесячно. CVE-2025-29824 (Use After Free в Windows CLFS Driver, CVSS 7.8) - пример: локальный авторизованный пользователь повышает привилегии до SYSTEM. Эта уязвимость активно эксплуатировалась в дикой природе совместно с
в цепочке PipeMagic.

Для практика важно не просто знать отдельные CVE, а понимать паттерн: Patch Tuesday каждый месяц приносит 2-5 LPE. Red Team-оператор должен проверять свежие бюллетени и интегрировать рабочие LPE в свой арсенал быстрее, чем Blue Team накатит патч.

Разбор мисконфигураций, токенов и обхода UAC с конкретными сценариями: Повышение привилегий Windows: эксплуатация мисконфигураций, токенов и обход UAC на практике.

Подробный разбор свежих LPE-уязвимостей: Privilege Escalation Windows 2026: разбор свежих CVE из Patch Tuesday и техники LPE-эксплуатации.
Обход EDR и AMSI: почему Defense Evasion - центральный этап LOTL
Техника Living off the Land по своей природе является техникой уклонения (T1218 System Binary Proxy Execution). Но современные EDR научились строить поведенческие цепочки, и простой запуск
уже вызывает алерт. Поэтому Red Team-оператор комбинирует несколько уровней обхода.
Обход AMSI (Anti-Malware Scan Interface)
AMSI перехватывает содержимое PowerShell-скриптов, VBScript и JScript перед исполнением и отправляет на проверку антивирусу. Для оператора это означает, что даже чистый PowerShell-пейлоад в памяти может быть заблокирован. Обход AMSI - обязательный шаг перед любой PowerShell-активностью в цепочке LOTL.

Существуют техники патчинга
в памяти текущего процесса, которые отключают сканирование до перезапуска сессии. Это делается через штатные .NET-методы без загрузки сторонних DLL - чистый in-memory patching. EDR видит попытку патчинга, если мониторит обращения к
, но не все вендоры реализуют этот детект одинаково качественно.
Обход поведенческих правил EDR
Современные EDR (CrowdStrike Falcon, Defender for Endpoint, SentinelOne) строят деревья процессов и корреляции. Классическая цепочка
вызывает алерт. Операторы разрывают эту цепочку:

• Proxy-бинарники -
  
  Код:

  ---

  forfiles.exe

  ---

  ,
  
  Код:

  ---

  pcalua.exe

  ---

  ,
  
  Код:

  ---

  explorer.exe

  ---

  (T1202 Indirect Command Execution) как промежуточные parent-процессы, нарушающие ожидаемое дерево
  
• Scheduled Task - задача планировщика порождает процесс от имени
  
  Код:

  ---

  svchost.exe

  ---

  , а не от атакующего процесса
  
• COM-объекты - вызов через COM создаёт процесс в контексте
  
  Код:

  ---

  dllhost.exe

  ---

  или
  
  Код:

  ---

  svchost.exe

  ---

T1562.001 - Disable or Modify Tools
Если оператор получил достаточные привилегии, он может отключить защиту напрямую: добавить исключения в Defender через PowerShell (
), остановить службу EDR-агента, или использовать уязвимый драйвер для терминации процесса защиты на уровне ядра.

Практический гайд по обходу Defender и AMSI с разбором конкретных техник: Обход Windows Defender и AMSI: практический гайд по defense evasion для Red Team.
BYOVD: когда LOLBins недостаточно, атакующий приносит свой драйвер
Bring Your Own Vulnerable Driver (BYOVD) - логическое расширение LOTL-философии. Если LOLBins работают в user space, BYOVD даёт атакующему доступ на уровне ядра, что позволяет:

• Терминировать защищённые процессы EDR через kernel API (ZwTerminateProcess, удаление callback-уведомлений через PsSetCreateProcessNotifyRoutine)
  
• Скрывать процессы и файлы от системных утилит
  
• В продвинутых сценариях - взаимодействовать со структурами ядра, обычно защищёнными от модификации

Проект LOLDrivers каталогизирует подписанные Windows-драйверы с известными уязвимостями. Группа FIN7 использовала инструмент AuKill с уязвимыми драйверами
и
для отключения EDR перед развёртыванием ransomware. RansomHub применял легитимную утилиту TDSSKiller (Kaspersky) в debug-режиме для терминации процессов EDR.

Современная Windows требует подписи драйверов, но BYOVD эксплуатирует не отсутствие подписи, а уязвимость в легитимном подписанном драйвере. Этот драйвер проходит проверку целостности, загружается в ядро - и предоставляет атакующему примитивы для произвольного чтения/записи памяти ядра.

Полный разбор анатомии BYOVD-атак: BYOVD атака обход EDR: анатомия Bring Your Own Vulnerable Driver в 2026 году.
Реальные кампании: Volt Typhoon, Remcos 2026, Mustang Panda
Три кейса, которые показывают LOTL на разных уровнях сложности.
Volt Typhoon - 5 лет в критической инфраструктуре США
Китайская государственная APT-группа, задокументированная CISA и Five Eyes. Целевые секторы: энергетика, телеком, транспорт. Набор инструментов: PowerShell, WMIC, netsh, ntdsutil. Ни одного custom malware. В отдельных средах доступ сохранялся более пяти лет до обнаружения. Это показывает предел того, насколько долго LOTL может оставаться невидимым при недостаточном поведенческом мониторинге.
Remcos/NetSupport RAT - январь 2026
Кампания, задокументированная Malwarebytes. Полная LOLBin-цепочка:
→
→
→
→ троянизированное легитимное приложение. Ноль custom malware до финального пейлоада. Показательно использование
и
- бинарников, которые ещё не имеют зрелых поведенческих правил в большинстве EDR.
Mustang Panda (Earth Preta) - MAVInject.exe
APT-группа целенаправленно использовала малоизвестный LOLBin
для инъекции в процесс
на машинах с ESET. Техника работала именно потому, что бинарник легитимный, подписан Microsoft, и детект-покрытие для него близко к нулю.
Детектирование LOTL: чек-лист для Blue Team и Purple Team
Обнаружить LOTL-атаку сигнатурным анализом невозможно - нечего сигнатурировать. Работает только поведенческий анализ и корреляция событий. Ниже - практический чек-лист, который я использую в Purple Team-сессиях.
Обязательный фундамент: логирование
Без логов нет детекта. Стандартный уровень аудита Windows недостаточен. Минимальный набор:

• Sysmon с конфигурацией, покрывающей Event ID 1 (Process Creation с command line), 3 (Network Connection), 7 (Image Loaded), 10 (Process Access), 11 (File Create), 13 (Registry Value Set), 19-21 (WMI Events)
  
• Event ID 4688 с включённым логированием командной строки (требует GPO
  
  Код:

  ---

  Audit Process Creation

  ---

  +
  
  Код:

  ---

  Include command line in process creation events

  ---

  )
  
• PowerShell Script Block Logging (Event ID 4104) и Module Logging - критично для обнаружения fileless-активности через T1059.001

Поведенческие правила, которые реально работают

Что мониторитьПочему это подозрительноMITRE ATT&CK
с аргументами
,
,
,
Загрузка файлов, декодирование Base64 и работа с ADS не типичны для администрированияT1105, T1140, T1027.013, T1564.004
порождает
,
,
Легитимный HTA-процесс не должен порождать интерпретаторыT1218.005 (mshta) + T1059.001/T1059.003 (child-интерпретаторы)
обращается к сети или порождает дочерние процессыШтатное использование rundll32 - загрузка локальных DLL, а не сетевые вызовыT1218.011Любой LOLBin (
,
,
) порождает
Proxy execution для обхода parent-child мониторингаT1202 (forfiles, pcalua), T1218.007 (msiexec)
запускается вне контекста App-VИсполнение этого бинарника вне виртуализации приложений - красный флагT1218.013PowerShell с
,
,
Сочетание этих флагов характерно для вредоносной активностиT1059.001 (согласно LOLBAS)

Пример KQL-запроса для Defender for Endpoint
Для демонстрации концепции - запрос, выявляющий LOLBins, устанавливающие сетевые соединения:

Код:


Централизация и корреляция
Согласно совместному руководству киберагентств США, Великобритании и Австралии по детектированию LOTL, ключевые рекомендации:

• Собирайте логи в централизованном SIEM с защитой от модификации (write-once storage)
  
• Определите baseline нормальной активности: какие LOLBins запускаются, кем, в какое время, с какими аргументами
  
• Используйте UEBA (User and Entity Behavior Analytics) для обнаружения отклонений от baseline
  
• Проводите Threat Hunting по каталогу LOLBAS - проверяйте, какие бинарники из списка запускались в вашей среде за последние 30 дней

PowerShell: LOLBin номер один в арсенале атакующих
PowerShell заслуживает отдельного разговора. По данным телеметрии, он стабильно входит в топ наиболее злоупотребляемых LOLBins по данным отраслевых отчётов (например, Red Canary Threat Detection Report). Это не просто исполнитель команд - это полноценная среда, дающая атакующему:

• Прямой доступ к .NET Framework и Windows API
  
• Возможность скачивать и исполнять код в памяти (
  
  Код:

  ---

  IEX (New-Object Net.WebClient).DownloadString(...)

  ---

  )
  
• Удалённое выполнение через WinRM (T1059.001)
  
• Управление WMI, реестром, службами, планировщиком - весь стек персистенции и lateral movement

При этом полностью отключить PowerShell в корпоративной среде невозможно: на нём построена автоматизация, GPO, SCCM, инструменты администрирования.

Защитная стратегия: Constrained Language Mode + Script Block Logging + AMSI - трёхслойная оборона, каждый слой которой атакующий должен обойти отдельно. Но и каждый слой имеет задокументированные обходы, что создаёт бесконечную гонку вооружений.
Куда движется LOTL: тренды и прогноз
LOTL - не модная техника, а новая норма. Несколько тенденций, которые определят ландшафт в ближайший год:

Рост использования «свежих» LOLBins.
,
,
- бинарники, для которых покрытие детектирования только формируется. Атакующие целенаправленно ищут LOLBins с минимальным количеством правил в EDR. Проект LOLBAS пополняется регулярно, и каждый новый entry - потенциальный вектор, который Blue Team пока не видит.

Конвергенция LOTL и BYOVD. Чистые LOLBins работают в user space. Для терминации EDR нужен kernel access. Комбинация «LOLBin-цепочка для доставки + BYOVD для нейтрализации защиты» становится стандартным паттерном у финансово мотивированных групп.

Облачный LOTL. Техника масштабируется за пределы Windows: AWS CLI, Azure PowerShell, gcloud - всё это LOLBins облачной среды. Украденные cloud credentials позволяют жить off the land в облаке.

Ответ от Microsoft. Всё больше LOLBins получают ограничения: WDAC-политики, AppLocker-правила, подписанные конфигурации Sysmon. Но темп появления новых техник пока опережает темп закрытия.

Для Red Team-оператора это значит: инвестируйте в понимание Windows internals, а не в конкретные инструменты. Cobalt Strike, Sliver, Havoc - это средства доставки. Реальная работа на хосте - это LOLBins, и чем глубже вы понимаете, как каждый из них взаимодействует с ядром и телеметрией, тем дольше вы остаётесь невидимым.

Для Blue Team: baseline, baseline, baseline. Если вы не знаете, какие LOLBins нормальны в вашей среде, вы не отличите оператора от сисадмина. Sysmon + SIEM + UEBA - минимальный стек. Без него 79% атак пройдут мимо.

Если вы строите Red Team-операции или защищаете Windows-инфраструктуру, начните с конкретных шагов: разверните Sysmon с детализированной конфигурацией, включите Script Block Logging, проведите hunt по каталогу LOLBAS в вашей SIEM. Каждая spoke-статья этого кластера даёт пошаговую инструкцию для конкретного этапа - от первой команды до детект-правила.
Вопрос к читателям
В январской кампании Remcos/NetSupport RAT 2026 года атакующие использовали
как proxy для запуска
, разрывая дерево parent-child процессов и обходя поведенческие правила EDR. В стандартной конфигурации Sysmon (SwiftOnSecurity config) корреляция
→
не покрыта выделенным правилом. Какой блок XML-конфигурации Sysmon (Event ID 1, ProcessCreate) вы добавили бы для детектирования этой цепочки - с каким именно условием по
и
? Если уже ловили LOLBin-chaining через кастомные Sysmon-фильтры или Sigma-правила, поделитесь конфигом.

```

_________________________________________________

Meta-Title: Living off the Land атаки Windows — LOLBAS, обход EDR
Meta-Description: 79% атак без малвари: полный разбор LOLBins (certutil, mshta, rundll32), цепочки kill chain, обход EDR/AMSI и детектирование LOTL-техник в Windows.
Теги: living off the land, LOLBAS, LOLBins, обход EDR, fileless атаки, пост-эксплуатация Windows, MITRE ATT&CK, certutil mshta rundll32, Red Team Windows, defense evasion, бесфайловые атаки, BYOVD