Para entender LOLBins, imagínelo como un ladrón que usa una llave de repuesto en lugar de romper una ventana para entrar a una casa. La llave pertenece a la casa y normalmente la utiliza su propietario, por lo que los sistemas de seguridad no detectan nada inusual. De manera similar, los ciberdelincuentes explotan herramientas integradas legítimas (LOLBins) en lugar de crear otras nuevas, lo que les permite operar sin ser detectados.

¿Qué son los LOLBins ?

Los LOLBins son esencialmente ejecutables nativos del sistema que se encuentran en los sistemas operativos, principalmente Windows pero también macOS y Linux, y que pueden aprovecharse con fines maliciosos. Estas herramientas se utilizan normalmente para tareas administrativas, diagnósticos del sistema o instalaciones de software. Por ejemplo, wmic.exe (línea de comandos del Instrumental de administración de Windows) es una herramienta legítima para la administración del sistema, que permite a los administradores recopilar información del sistema o ejecutar comandos. De manera similar, certutil.exe se utiliza para la gestión de certificados, una tarea crucial para una comunicación segura. En macOS y Linux, ssh (Secure Shell) es esencial para la administración y el acceso remotos seguros. Incluso los lenguajes de programación como Python y bash, que se encuentran comúnmente en estos sistemas, se utilizan para automatizar tareas administrativas e instalaciones de software.

Dado que ya están presentes en el sistema y el sistema operativo confía en ellos, a menudo pueden eludir las medidas de seguridad tradicionales, como el software antivirus y las listas blancas de aplicaciones. Los ciberdelincuentes también utilizan LOLBins para mejorar el sigilo combinándolos con servicios legítimos en la nube (GitHub, S3, Dropbox, Google Drive, etc.) y malware sin archivos.

El concepto "Living Off the Land" (LOTL) abarca una gama más amplia de técnicas más allá de los binarios, incluidos lenguajes de programación nativos (como PowerShell en Windows) y funciones integradas. Sin embargo, los LOLBins representan un subconjunto importante de ataques LOTL debido a su facilidad para armarse. Estos archivos binarios son parte integral del sistema operativo y generalmente están firmados por el proveedor del sistema operativo, lo que hace que tanto el sistema operativo como el software de seguridad confíen en ellos. Como resultado, a menudo se les llama un “arma de doble filo” en ciberseguridad.

Cómo los atacantes utilizan LOLBins para delitos cibernéticos

Los atacantes explotan LOLBins en varias etapas de un ataque, desde el acceso inicial hasta el movimiento lateral y la filtración de datos. Las tácticas comunes incluyen:

• Eludir la lista blanca de aplicaciones: si un sistema está configurado para permitir que solo se ejecuten aplicaciones específicas, los atacantes pueden aprovechar los LOLBins incluidos en la lista blanca para ejecutar código malicioso. Por ejemplo, se puede abusar de regsvr32.exe (utilizado para registrar archivos DLL) para descargar y ejecutar cargas útiles maliciosas. De manera similar, mshta.exe puede ejecutar código JavaScript arbitrario desde fuentes remotas como GitHub.

  
  

• Evadir la detección: dado que los LOLBins son herramientas legítimas, su actividad a menudo parece normal para el software de seguridad, lo que dificulta que los defensores distingan entre actividad legítima y maliciosa. Por ejemplo, certutil.exe (utilizado para la gestión de certificados) se puede utilizar para descargar y decodificar malware, combinándolo con las operaciones rutinarias del sistema.

  
  

• Movimiento lateral: los atacantes utilizan LOLBins para moverse lateralmente dentro de una red. wmic.exe (línea de comandos del Instrumental de administración de Windows) permite la ejecución remota de comandos, lo que permite a los atacantes expandir su acceso a múltiples sistemas.

  
  

• Exfiltración de datos: LOLBins facilita la exfiltración de datos comprimiéndolos usando herramientas como tar.exe (en Linux/macOS) o WinRAR.exe (si está disponible) y transfiriéndolos usando bitsadmin.exe (Servicio de transferencia inteligente en segundo plano), que puede cargar o descargar archivos de forma encubierta.

  
  

• Persistencia: los atacantes establecen persistencia mediante el uso de LOLBins para programar tareas maliciosas. schtasks.exe se puede utilizar para crear tareas programadas que ejecutan scripts maliciosos o cargas útiles en intervalos específicos.

  
  

• Escalada de privilegios: LOLBins permite a los atacantes escalar privilegios en sistemas vulnerables o ya comprometidos. Se puede abusar de eventvwr.exe para evitar el Control de cuentas de usuario (UAC) y obtener derechos de administrador.

  
  

• Ejecución remota de comandos: los atacantes utilizan LOLBins como powershell.exe para ejecutar comandos de forma remota en sistemas comprometidos. Esto les permite controlar las máquinas infectadas, implementar malware o extraer datos.

  
  

• Ejecución de malware sin archivos: muchos LOLBins permiten la ejecución sin archivos, lo que significa que los scripts maliciosos se ejecutan directamente en la memoria sin escribirse en el disco. Esta táctica ayuda a evadir los mecanismos de detección tradicionales. Por ejemplo, los comandos de PowerShell se pueden utilizar para descargar y ejecutar cargas maliciosas directamente desde la memoria, dejando poco rastro en el sistema de archivos.

Ejemplos de LOLBins comunes

Si bien la lista de LOLBins potenciales es extensa, algunos de los más comúnmente abusados ​​incluyen:

• Windows: powershell.exe, cmd.exe, regsvr32.exe, wmic.exe, certutil.exe, bitsadmin.exe, mshta.exe, rundll32.exe, taskchd.exe, csc.exe, psexec.exe, CertReq.exe.

  
  

• macOS/Linux: curl, wget, ssh, tar, dd, awk, sed.

Los peligros de LOLBins: sus herramientas confiables se vuelven en su contra

Los LOLBins plantean desafíos importantes para los defensores de la ciberseguridad. Su naturaleza sigilosa, que imita el uso legítimo de herramientas, permite a los atacantes pasar desapercibidos durante períodos prolongados. Evitan medidas de seguridad como la implementación de software antivirus y listas blancas de aplicaciones, lo que demuestra ser muy eficaz. LOLBins ofrece flexibilidad, adaptándose a diversas actividades y entornos maliciosos. La atribución es difícil debido a su estatus legítimo. La ejecución encubierta combina acciones maliciosas con procesos normales, lo que dificulta la detección. Finalmente, su tamaño reducido complica el análisis forense y la respuesta a incidentes. Estos factores combinados hacen de LOLBins una amenaza grave, que exige estrategias avanzadas de detección y mitigación.

El laberinto de detección de LOLBin: el camuflaje de un ciberdelincuente

Cuando se trata de detectar el uso malicioso de LOLBin, supone un gran desafío para los profesionales de la ciberseguridad debido a su presencia legítima en el sistema:

• Uso legítimo versus intención maliciosa: dado que los LOLBins se usan ampliamente con fines legítimos, distinguir la actividad normal de las amenazas potenciales requiere técnicas de monitoreo avanzadas.

• Técnicas de evasión: los atacantes emplean métodos de ofuscación y ejecutan comandos directamente en la memoria para evadir las soluciones de seguridad tradicionales.

• Conciencia contextual: comprender el contexto en el que se utiliza un binario es crucial para una detección eficaz. Los equipos de seguridad deben analizar patrones de comportamiento para identificar anomalías.

  
  

Defensa contra ataques LOLBin

Mitigar los ataques basados ​​en LOLBin requiere un enfoque de múltiples capas centrado en LOLBins que combine medidas proactivas, capacidades de detección y estrategias de respuesta a incidentes. La parte clave de la protección contra LOLBins es comprender cómo estos ataques se relacionan con el marco MITRE ATT&CK. Este marco es como un manual completo de tácticas y técnicas de atacantes, que proporciona una forma estructurada de comprenderlos y defenderse de ellos.

Ahora, pensemos en ello como construir un sistema de defensa fuerte, capa por capa. No se puede confiar únicamente en una cosa, por lo que se necesita un enfoque integral. La medida más potente es la Detección y Respuesta de Puntos Finales (EDR). Imagine que EDR tiene un guardia de seguridad vigilando cada punto final (sus computadoras, portátiles, etc.). Nos brinda una visibilidad profunda de lo que está sucediendo, desde ejecuciones de línea de comandos hasta conexiones de red. Este monitoreo detallado lo ayuda a detectar esos usos inusuales de LOLBins y conectar los puntos con otros eventos sospechosos. Es como tener un detective que puede ver el panorama completo y permitirle reaccionar rápidamente.

Luego tienes el sistema de gestión de eventos e información de seguridad (SIEM). Este es el centro central donde se reúnen todos los registros de seguridad. SIEM analiza estos registros para encontrar patrones que puedan sugerir un ataque LOLBin. Es como tener un analista súper inteligente que puede examinar toneladas de datos y encontrar amenazas ocultas. También puede utilizar User and Entity Behavior Analytics (UEBA). Este sistema aprende cómo es el comportamiento normal de cada usuario y dispositivo. Si algo se desvía de esa línea de base, genera una señal de alerta. Es como tener un perfil de seguridad personalizado para todos.

Por supuesto, no puedes olvidar lo básico. Los parches y las actualizaciones periódicas son esenciales, como arreglar los agujeros en sus defensas. Mantener los sistemas actualizados minimiza las vulnerabilidades que los atacantes podrían aprovechar. También es necesario implementar el principio de privilegio mínimo otorgando a los usuarios sólo el acceso que absolutamente necesitan. Si la cuenta de alguien se ve comprometida, el daño será limitado.

La supervisión de la línea de comandos también es un factor clave. Debe prestar mucha atención a lo que se escribe en la línea de comando, especialmente a los parámetros o secuencias inusuales. Es como escuchar a escondidas las conversaciones del atacante. Y siempre debes mantenerte informado sobre las últimas técnicas de ataque LOLBin a través de Threat Intelligence, leyendo los últimos informes de seguridad para estar un paso por delante de tu enemigo.

Por último, necesita un sólido plan de respuesta a incidentes. Este es su manual sobre qué hacer si ocurre un ataque. Describe los pasos para la detección, contención, erradicación y recuperación. Es como tener un simulacro de incendio para que todos sepan qué hacer en caso de emergencia.

Más allá de estas estrategias centrales, existen otros niveles importantes. El Análisis de Comportamiento utiliza herramientas avanzadas para detectar anomalías en el comportamiento del sistema. Log Analysis le ayuda a encontrar actividades sospechosas en la línea de comandos, la red y los registros de eventos. File Integrity Monitoring le alerta sobre cambios no autorizados en los archivos del sistema. El análisis del tráfico de red ayuda a identificar conexiones inusuales, como aquellas a direcciones IP maliciosas conocidas. Las auditorías de seguridad periódicas le ayudan a revisar los archivos binarios del sistema y su uso. Y por último, pero no menos importante, la formación de usuarios es fundamental. Debe educarse a sí mismo y a sus empleados sobre cómo reconocer actividades sospechosas relacionadas con las herramientas del sistema a través de guías y boletines periódicos. A menudo son la primera línea de defensa.

Al combinar todas estas estrategias, puede crear una postura de seguridad sólida y reducir significativamente el riesgo de ataques LOLBin. Se trata de ser proactivo, vigilante y preparado.

Conclusión

Los LOLBins representan una amenaza importante y en evolución para organizaciones de todos los tamaños. Al comprender cómo los atacantes explotan estas herramientas legítimas e implementar estrategias de defensa sólidas, usted y sus organizaciones pueden fortalecer su postura de seguridad y mitigar los riesgos. Un enfoque de seguridad por capas, que combine prevención, detección y respuesta rápida, es clave para contrarrestar los ataques LOLBin de forma eficaz. Mantenerse alerta e informado sobre las últimas técnicas LOLBin es crucial en la batalla en curso contra las amenazas cibernéticas. Reconocer y responder al uso indebido de estas herramientas legítimas es esencial para mantener un entorno de TI seguro en el mundo digital actual.