{"id":22977,"date":"2021-10-01T09:28:32","date_gmt":"2021-10-01T15:28:32","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=22977"},"modified":"2021-10-01T09:28:32","modified_gmt":"2021-10-01T15:28:32","slug":"most-used-lolbins","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/most-used-lolbins\/22977\/","title":{"rendered":"Los principales LOLBins de los cibercriminales"},"content":{"rendered":"

Desde hace tiempo, los cibercriminales han utilizado programas leg\u00edtimos y componentes del sistema operativo para atacar a los usuarios de Microsoft Windows, un t\u00e1ctica conocida como Living off the Land<\/a>. Al hacerlo, intentan matar varios p\u00e1jaros de un tiro cibern\u00e9tico, al reducir el costo de desarrollar un kit de herramientas de malware<\/em>, minimizar su huella en el sistema operativo y disfrazar su actividad entre acciones de TI leg\u00edtimas.<\/p>\n

En otras palabras, el objetivo principal es que su actividad maliciosa sea m\u00e1s dif\u00edcil de detectar. Por este motivo, los expertos en seguridad desde hace tiempo supervisan la actividad de archivos ejecutables, scripts<\/em> y bibliotecas potencialmente inseguros; hasta guardan una especie de registro bajo el proyecto LOLBAS en GitHub<\/a>.<\/p>\n

Nuestros colegas del servicio Kaspersky Managed Detection and Response (MDR)<\/a>, quienes protegen a varias empresas en un amplio rango de \u00e1reas comerciales, con frecuencias ven este enfoque en ataques de la vida real. En su informe de an\u00e1lisis de detecci\u00f3n y respuesta gestionada<\/a>, examinan los componentes del sistema que se utilizan con m\u00e1s frecuencia para atacar empresas modernas. Esto es lo que descubrieron.<\/p>\n

El oro es para PowerShell<\/h2>\n

PowerShell, un motor de software<\/em> y un lenguaje de programaci\u00f3n de script<\/em> con una interfaz de l\u00ednea de comandos, es la herramienta leg\u00edtima m\u00e1s com\u00fan por mucho entre los cibercriminales, a pesar de los esfuerzos de Microsoft por hacerla m\u00e1s segura y controlable. De los incidentes identificados por nuestro servicio de MDR, 3.3% involucraban un intento de explotaci\u00f3n de PowerShell. Es m\u00e1s, al restringir la encuesta solo a incidentes cr\u00edticos, observamos que PowerShell estaba presente en uno de cinco (20.3% para ser precisos).<\/p>\n

La plata es para rundll32.exe<\/h2>\n

En segundo lugar tenemos el proceso de host<\/em> rundll32, el cual se utiliza para ejecutar c\u00f3digo desde bibliotecas de enlaces din\u00e1micos (DLL). Estuvo involucrado en 2% de todos los incidentes y 51% de los considerados cr\u00edticos.<\/p>\n

El bronce es para varias herramientas<\/h2>\n

Encontramos cinco herramientas que aparec\u00edan en 1.9% de todos los incidentes:<\/p>\n