Los principales LOLBins de los cibercriminales

Lo más común es que los ciberataques dependan de solo unos cuantos componentes del sistema operativo.

Desde hace tiempo, los cibercriminales han utilizado programas legítimos y componentes del sistema operativo para atacar a los usuarios de Microsoft Windows, un táctica conocida como Living off the Land. Al hacerlo, intentan matar varios pájaros de un tiro cibernético, al reducir el costo de desarrollar un kit de herramientas de malware, minimizar su huella en el sistema operativo y disfrazar su actividad entre acciones de TI legítimas.

En otras palabras, el objetivo principal es que su actividad maliciosa sea más difícil de detectar. Por este motivo, los expertos en seguridad desde hace tiempo supervisan la actividad de archivos ejecutables, scripts y bibliotecas potencialmente inseguros; hasta guardan una especie de registro bajo el proyecto LOLBAS en GitHub.

Nuestros colegas del servicio Kaspersky Managed Detection and Response (MDR), quienes protegen a varias empresas en un amplio rango de áreas comerciales, con frecuencias ven este enfoque en ataques de la vida real. En su informe de análisis de detección y respuesta gestionada, examinan los componentes del sistema que se utilizan con más frecuencia para atacar empresas modernas. Esto es lo que descubrieron.

El oro es para PowerShell

PowerShell, un motor de software y un lenguaje de programación de script con una interfaz de línea de comandos, es la herramienta legítima más común por mucho entre los cibercriminales, a pesar de los esfuerzos de Microsoft por hacerla más segura y controlable. De los incidentes identificados por nuestro servicio de MDR, 3.3% involucraban un intento de explotación de PowerShell. Es más, al restringir la encuesta solo a incidentes críticos, observamos que PowerShell estaba presente en uno de cinco (20.3% para ser precisos).

La plata es para rundll32.exe

En segundo lugar tenemos el proceso de host rundll32, el cual se utiliza para ejecutar código desde bibliotecas de enlaces dinámicos (DLL). Estuvo involucrado en 2% de todos los incidentes y 51% de los considerados críticos.

El bronce es para varias herramientas

Encontramos cinco herramientas que aparecían en 1.9% de todos los incidentes:

  • exe, parte del Test Authoring and Execution Framework.
  • exe, una herramienta para ejecutar procesos en sistemas remotos.
  • exe, una herramienta para manejar información de autoridades de certificación.
  • exe, la herramienta consola del registro de Microsoft, la cual puede utilizarse para cambiar y agregar claves en el registro del sistema desde la línea de comandos.
  • exe, Windows Script Host, diseñado para ejecutar scripts en lenguajes de programación.

Estos cinco archivos ejecutables se utilizaron en 7.2% de los incidentes críticos.

Los expertos de Kaspersky MDR observaron también el uso de msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe , powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe, y shell32.exe.

Aquí puedes ver más resultados del informe de análisis de detección y respuesta gestionada.

Consejos