¿Qué es LOLBin?
LOLBin es un término utilizado para describir el uso de archivos binarios legítimos y preinstalados en un sistema para fines maliciosos. Los actores de APT a menudo usan LOLBins para evadir la detección y el análisis, ya que estos archivos no se consideran malware tradicional.
Riesgos de LOLBins
Los LOLBins pueden usarse para una variedad de propósitos maliciosos, que incluyen:
- Ejecución de código arbitrario
- Elevación de privilegios
- Robo de datos
- Persistencia en el sistema
Estrategias de prevención
Existen varias estrategias que las empresas pueden usar para prevenir el uso de LOLBins, que incluyen:
- Implementar AppLocker: AppLocker es una función de Windows que permite a las empresas controlar qué aplicaciones se pueden ejecutar en un sistema.
- Utilizar reglas de control de aplicaciones de Windows Defender: Las reglas de control de aplicaciones de Windows Defender permiten a las empresas crear reglas personalizadas para controlar qué aplicaciones se pueden ejecutar en un sistema.
- Implementar soluciones de proveedores suplementarios: Hay una serie de proveedores que ofrecen soluciones para la prevención de LOLBins.
Amenazas persistentes avanzadas (APT)
El uso de LOLBins (Living Off the Land Binaries) por parte de actores de amenazas persistentes avanzadas (APT) ha aumentado en los últimos años, culminando en un ataque de alto perfil contra la infraestructura crítica de los Estados Unidos. Las tendencias actuales de amenazas de los proveedores de detección y respuesta han confirmado una mayor detección de técnicas LOLBin, lo que confirma indirectamente que las empresas generalmente no priorizan la prevención contra los actores de amenazas que utilizan tales métodos.
Disponibilidad de soluciones tecnológicas
La disponibilidad de soluciones tecnológicas no justifica la falta de priorización por parte de las empresas, ya que existen herramientas disponibles a través de Windows a través de AppLocker, reglas de control de aplicaciones de Windows Defender y soluciones de proveedores suplementarios.
Investigación actual
Si bien existe una cantidad adecuada de investigación moderna y participación activa de los proveedores en la detección del uso de LOLBin, la investigación sobre la prevención del uso de LOLBin en el panorama de amenazas contemporáneo debe mejorarse.
Valor de la investigación
Es valioso construir sobre el trabajo de investigación existente realizado sobre la prevención de LOLBin para consolidar, ampliar y probar la efectividad de estos controles de prevención, así como evaluar su usabilidad si se aplica tanto a estaciones de trabajo de empleados técnicos como no técnicos.
Conclusión
El uso de LOLBins es una amenaza creciente para las empresas. Las empresas deben implementar estrategias de prevención para protegerse de esta amenaza.
Referencias
- Guía de Microsoft sobre LOLBins
- Blog de FireEye sobre LOLBins
Sumac Kukuly Yuracc
Desarrollo de Plataformas CMS / ERP
Directora de la Revista: DLT
Involucrada con: Innovaciones, Nuevas Tecnologías, eBusiness, Blockchain, Web3, Crypto, Data, Seguridad, Labs...
#LOLBin #LivingOfftheLandBinaries #APT #AppLocker #WindowsDefender #prevención #seguridad #malware #amenaza #ataque #riesgo #investigación #controlApplicaciones #usuarios #empleados #técnicos #noTécnicos #Microsoft #FireEye #Vorhees #MatthewAlan #detección #herramientas #conferencia #SeguridadInformática #actualización #técnicas #expertos #RedesSociales
.
