Contacto
¿Estás teniendo un incidente?
Contacto
Volver
R & D + i Team
Compartir:
DefensivoTécnico
Nota 131
3
minutos

LOLBins: Armas ocultas en tu propio sistema operativo

«LOLBins» (Living off the Land Binaries) es una técnica que consiste en aprovechar herramientas y procesos legítimos del propio sistema operativo para llevar a cabo actividades maliciosas sin ser detectados. Este enfoque, conocido como «vivir de la tierra» (Living off the Land), permite a los atacantes camuflar sus acciones entre las operaciones normales del sistema, dificultando su identificación.

Para las organizaciones, comprender y reconocer el uso de LOLBins es esencial para fortalecer sus estrategias de defensa. Al utilizar herramientas nativas del sistema, los ciberdelincuentes pueden evitar la detección por parte de soluciones de seguridad convencionales, lo que representa una amenaza significativa para la integridad y seguridad de la información corporativa.

El objetivo de este artículo es profundizar en el concepto de LOLBins, analizar su funcionamiento y destacar la importancia de estar alerta ante esta técnica en constante evolución.

Definición
Las LOLBins, acrónimo de «Living Off the Land Binaries», son ejecutables legítimos y preinstalados en los sistemas operativos que los ciberdelincuentes aprovechan para llevar a cabo actividades maliciosas sin levantar sospechas. Al utilizar estas herramientas integradas, los atacantes pueden camuflar sus acciones como operaciones rutinarias del sistema, dificultando su detección.

Diferencia entre LOLBins, LOLScripts y LOLLibs
Además de las LOLBins, existen otros términos relacionados:

  • LOLScripts: Scripts legítimos del sistema que pueden ser explotados con fines maliciosos.
  • LOLLibs: Bibliotecas del sistema que, de manera similar, pueden ser utilizadas indebidamente por atacantes.

Aunque todos comparten la característica de ser componentes legítimos del sistema empleados con fines maliciosos, se diferencian en su naturaleza: ejecutables (LOLBins), scripts (LOLScripts) y bibliotecas (LOLLibs).

Origen del concepto y casos históricos
El concepto de «Living Off the Land» fue introducido por los investigadores Christopher Campbell y Matt Graeber en 2013 para describir cómo los atacantes emplean herramientas confiables y preinstaladas en los sistemas para sus fines maliciosos.

Un ejemplo notable es el grupo TA505, que en 2018 llevó a cabo campañas de phishing dirigidas contra grandes organizaciones financieras. Utilizaron LOLBins para distribuir malware de manera encubierta, demostrando la eficacia de esta técnica para evadir las defensas tradicionales de seguridad.

LOLBins mas utilizados
Los ciberdelincuentes aprovechan herramientas legítimas presentes en los sistemas operativos para llevar a cabo actividades maliciosas sin ser detectados fácilmente. A continuación, se detallan algunos de los LOLBins más utilizados en diferentes plataformas:

Windows:

  • powershell.exe: PowerShell es una potente herramienta de línea de comandos y scripting en Windows. Los atacantes la emplean para ejecutar scripts maliciosos, descargar payloads desde internet y realizar movimientos laterales dentro de la red, todo ello sin dejar rastros evidentes en el sistema de archivos.
  • rundll32.exe: Esta utilidad carga y ejecuta bibliotecas de enlace dinámico (DLL). Los ciberdelincuentes la utilizan para ejecutar código malicioso contenido en DLLs, permitiendo la ejecución de malware sin crear archivos ejecutables visibles.
  • bitsadmin.exe: Originalmente diseñado para gestionar transferencias en segundo plano, como actualizaciones, este programa puede ser manipulado para descargar o cargar archivos maliciosos desde o hacia servidores controlados por atacantes, facilitando la exfiltración de datos o la introducción de malware.
  • mshta.exe: Ejecuta aplicaciones HTML. Los atacantes lo emplean para ejecutar scripts maliciosos incrustados en archivos HTML o directamente desde internet, permitiendo la ejecución de código sin alertar a las soluciones de seguridad.
  • certutil.exe: Herramienta de línea de comandos para la gestión de certificados en Windows. Los ciberdelincuentes la abusan para descargar y decodificar archivos maliciosos, aprovechando su capacidad para manejar datos en formatos codificados.

Linux:

  • bash: El intérprete de comandos predeterminado en muchas distribuciones de Linux. Los atacantes pueden escribir y ejecutar scripts maliciosos directamente en bash para automatizar tareas maliciosas, como la extracción de datos o la creación de puertas traseras.
  • wget y curl: Utilidades para transferir datos desde o hacia servidores. Los ciberdelincuentes las utilizan para descargar scripts o binarios maliciosos desde ubicaciones remotas, facilitando la introducción de malware en el sistema.
  • ssh: Protocolo para acceder de forma segura a sistemas remotos. Si se comprometen credenciales, los atacantes pueden usar ssh para moverse lateralmente entre sistemas dentro de una red, manteniendo el acceso sin ser detectados.
  • macOS:
    osascript: Permite la ejecución de scripts de AppleScript y otros lenguajes. Los atacantes lo emplean para ejecutar scripts maliciosos que pueden interactuar con aplicaciones y el sistema operativo, facilitando acciones como la captura de información sensible o la ejecución de comandos arbitrarios.
  • bash: Al igual que en Linux, bash está presente en macOS y puede ser utilizado para ejecutar scripts maliciosos, proporcionando a los atacantes una vía para realizar acciones no autorizadas en el sistema.

Métodos de detección y prevención

  • Implementación de soluciones EDR y XDR: Las soluciones de Detección y Respuesta en Endpoints (EDR) y Detección y Respuesta Extendida (XDR) son esenciales para monitorear y analizar actividades sospechosas en los sistemas. Estas herramientas permiten identificar comportamientos anómalos asociados con el uso indebido de LOLBins. Por ejemplo, pueden detectar la ejecución inusual de binarios como rundll32.exe o regsvr32.exe que, aunque legítimos, pueden ser explotados para fines maliciosos.
  • Supervisión del uso de herramientas del sistema: Es crucial monitorear continuamente el uso de herramientas y binarios integrados en el sistema operativo. Establecer líneas base de comportamiento normal para estos binarios ayuda a identificar desviaciones que podrían indicar actividades maliciosas. Por ejemplo, si mshta.exe inicia conexiones de red inusuales o descarga scripts desde ubicaciones no autorizadas, esto podría ser un indicio de compromiso.
  • Aplicación del principio de privilegios mínimos: Limitar los privilegios de los colaboradores y las aplicaciones reduce significativamente las oportunidades para que los ciberdelincuentes exploten LOLBins. Asegúrese de que los usuarios y procesos solo tengan los permisos necesarios para realizar sus funciones, minimizando el riesgo de ejecución no autorizada de binarios del sistema.
  • Revisión de registros y monitoreo de comportamiento inusual: Configurar registros detallados y centralizados permite una revisión efectiva de las actividades del sistema. La detección de patrones inusuales, como la ejecución de binarios desde ubicaciones no estándar o con parámetros atípicos, puede señalar el uso indebido de LOLBins. Por ejemplo, la ejecución de certutil.exe para descargar archivos desde internet es una técnica conocida utilizada por atacantes.
  • Bloqueo de herramientas no necesarias en entornos organizacionales: Identificar y deshabilitar binarios y scripts que no son esenciales para las operaciones de la organización puede prevenir su uso malicioso. Implementar listas de aplicaciones permitidas y restringir la ejecución de herramientas como powershell.exe o wmic.exe a usuarios y procesos autorizados fortalece la postura de seguridad.

Buenas prácticas de protección

  • Actualizaciones de software y parches de seguridad: Mantener todos los sistemas y aplicaciones actualizados es fundamental. Los ciberdelincuentes suelen aprovechar vulnerabilidades en software desactualizado para ejecutar ataques basados en LOLBins. Establezca un proceso regular para la gestión de parches y asegúrese de que todas las actualizaciones se apliquen de manera oportuna.
  • Educación y capacitación de los colaboradores: La concienciación del personal es una línea de defensa crucial. Proporcione formación continua a los colaboradores para que reconozcan tácticas de ingeniería social y phishing, métodos comunes para iniciar ataques que utilizan LOLBins. Simulaciones de phishing y programas de concienciación en ciberseguridad pueden ser herramientas efectivas en este sentido.
  • Implementación del principio de privilegios mínimos: Limite los permisos de los usuarios y procesos al nivel mínimo necesario para realizar sus funciones. Al restringir los privilegios, se reduce la capacidad de los atacantes para explotar LOLBins y ejecutar comandos maliciosos con altos niveles de acceso.
  • Monitoreo y análisis del comportamiento del sistema: Utilice herramientas de monitoreo para detectar comportamientos anómalos en el sistema que puedan indicar el uso indebido de LOLBins. La supervisión continua permite identificar y responder rápidamente a actividades sospechosas antes de que causen daños significativos.
  • Gestión de vulnerabilidades: Realice evaluaciones periódicas de vulnerabilidades para identificar y remediar posibles puntos débiles en la infraestructura de TI. La gestión proactiva de vulnerabilidades ayuda a prevenir que los atacantes exploten LOLBins a través de fallos conocidos en el sistema.
  • Copias de seguridad regulares y seguras: Establezca procedimientos para realizar copias de seguridad periódicas de datos críticos y almacénelas en ubicaciones seguras y aisladas de la red principal. Esto asegura la integridad y disponibilidad de la información en caso de que un ataque comprometa los sistemas principales.

Conclusión
Los ciberdelincuentes han perfeccionado el arte de utilizar herramientas legítimas del sistema operativo, conocidas como LOLBins, para llevar a cabo actividades maliciosas sin ser detectados. Esta estrategia les permite evadir las soluciones de seguridad tradicionales y mantener un acceso prolongado a los sistemas comprometidos. Para las organizaciones, es esencial reconocer esta amenaza y adoptar medidas proactivas que incluyan la monitorización continua de actividades sospechosas, la implementación de políticas de privilegios mínimos y la formación constante de sus colaboradores en prácticas de ciberseguridad. Al comprender y anticipar las tácticas basadas en LOLBins, las organizaciones pueden fortalecer su postura de seguridad y reducir significativamente el riesgo de compromisos.

Notas
recientes
General
5
minutos

Threat Hunting con predicción de comportamiento

Nos encontramos en la constante búsqueda de elementos que nos ayuden a predecir como seremos atacados y así hacer algo proactivamente para reducir estos riesgos. La Ciber Inteligencia de Amenazas (CTI) es esa disciplina...
ver más ...

Trabajamos de forma
interconectada desde
América Latina, USA
y Europa.

Contactános

Certificaciones

Logros

Políticas

RRSS

iconos pie -13-svg
iconos pie -14-svg
iconos pie -12-svg

© BASE4 Security S.A. Todos los derechos reservados 2025