Моделювання атак безфайлового типу в операційній системі Windows 11 із використанням утиліт LOLBAS та дослідження ефективності засобів захисту

Abstract

UK: У роботі аналізується необхідність всебічного дослідження технік обходу захисних механізмів Windows через легітимні системні утиліти, а також у створенні інструментарію, що забезпечує автоматизоване тестування політик контролю запуску (AppLocker, WDAC) та оцінювання реакції Microsoft Defender в умовах, наближених до реальних (лабораторний стенд). Застосування такого підходу дає змогу не лише оцінити стійкість конфігурації до поширених векторів атак, а й виявити конфігураційні прогалини, які складно ідентифікувати без цілеспрямованого тестування EN: The paper analyzes the need for a comprehensive study of techniques for bypassing Windows defense mechanisms through legitimate system utilities, as well as for creating a toolkit that provides automated testing of launch control policies (AppLocker, WDAC) and evaluating Microsoft Defender's response in conditions close to real-world conditions (laboratory stand). The use of such an approach allows not only to assess the configuration's resistance to common attack vectors, but also to identify configuration gaps that are difficult to identify without targeted testing.