Los LOLBAS se tratan de un conjunto de binarios y scripts para ataques en Red Team, en donde se utilizan un conjunto de binarios propios para realizar intrusiones maliciosas. Esto se trata de una amenaza que toda aquella organización debería considerar, debido a la complejidad en el rastreo de la misma. Aunque también por otra parte esta puede ser empleada para la detección de vulnerabilidades en organizaciones, con un fin de mejora para la organización.
Esta amenaza se lleva a cabo por medio del empleo de binarios propios del sistema, ejecutando actividad maliciosa a través de elementos preinstalados. Contando con la capacidad de estos para la intrusión y la baja detección, las organizaciones no estarán protegidas simplemente con un procedimiento de seguridad digital ordinario, sino que deberán disponer de herramientas avanzadas para la evasión y protección frente a estos.
Proyecto LOLBAS
Este proyecto colaborativo se trata de un registro actualizable en donde se van agregando nuevos LOLBAS, a fin de que logren ser detectados, frenando la amenaza persistente en las organizaciones. Dentro del Proyecto LOLBAS (Living Off The Land Binaries and Scripts) se cuenta con alrededor de unos 135 binarios, en donde entre estos se diferencian los LOLBins (Binarios), LOLScripts (Scripts) y también LOLLibs (Bibliotecas).
Se tendrá que considerar sistema operativo, ya que el proyecto LOLBAS está diseñado para Windows mientras que, si queremos un repositorio de Binarios para otro sistema operativo, podremos acudir a GTFOBins, desarrollado para los sistemas operativos Linux/Unix.
LOLBas AT
Este requiere de un sistema operativo Windows 7 o preeminente, con permisos de administrador local, permita la ejecución periódica de comandos sin ninguna clase de verificación.
Ejemplo de ejecución: Se puede crear una tarea para ejecutarla cada día en una hora específica.
C:\Windows\System32\at.exe at 09:00 /interactive /every:m,t,w,th,f,s,su C:\Windows\System32\revshell.exe
LOLBas WMIC
Hablamos de uno de los más conocidos y empleados, debido a su potencia y ventajas que este ofrece. Tiene un uso alternativo de creación de procesos de forma arbitraria. Se puede emplear a partir del sistema operativo Windows Vista o superior.
Su detección se reconoce como “WMIC está obteniendo Scripts desde un sistema remoto”.
Ejemplo (Ejecución de la calculadora):
wmic.exe process call create calc
A lo largo del 2020 tomó lugar un proceso de transformación digital debido a la pandemia, el cual condujo a las organizaciones a un cambio en la ciberseguridad de los equipos, en donde por otro lado surgió un aceleramiento en los desafíos para este ámbito de la ciberseguridad, el avance de estas amenazas, lo cual genera un gran reto en materia de seguridad digital para las empresas.
Desde Hubler enfatizamos la gran importancia de estar actualizados y concienciados en materia de seguridad digital, por eso nos gustaría decirte ¿Te unes a ponerle freno?