Los ciberdelincuentes llevan utilizando durante mucho tiempo programas legítimos y componentes del sistema operativo para atacar a los usuarios de Microsoft Windows, una táctica conocida como Living off the Land. Con ello, intentan matar varios pájaros de un tiro, reduciendo el coste de desarrollar un conjunto de herramientas de malware, minimizando la huella de su sistema operativo y ocultando su actividad entre acciones legítimas informáticas.
En otras palabras, el objetivo principal es dificultar la detección de su actividad maliciosa. Por esta razón, los expertos en seguridad han supervisado durante mucho tiempo la actividad de ejecutables, scripts y bibliotecas potencialmente inseguros, llegando incluso a mantener una especie de registro bajo el proyecto LOLBAS en GitHub.
Nuestros compañeros del servicio Kaspersky Managed Detection and Response (MDR) que protegen a numerosas empresas en una amplia gama de áreas comerciales, a menudo se encuentran con esta estrategia en ataques de la vida real. En su informe de análisis de respuesta y detección gestionada, examinan los componentes del sistema que se utilizan con más frecuencia para atacar a las empresas actuales y esto es lo que descubrieron.
El oro es para PowerShell
PowerShell, un motor de software y un script de secuencias de comandos con una interfaz de línea de comandos, es la herramienta legítima más común entre los ciberdelincuentes, a pesar de los esfuerzos de Microsoft por hacerla más segura y controlable. De los incidentes identificados por nuestro servicio de MDR, el 3,3 % involucraba un intento de explotación de PowerShell. Además, al restringir el estudio exclusivamente a incidentes críticos, vemos que PowerShell intervino en uno de cada cinco (el 20,3 %, para ser precisos).
La plata es para a rundll32.exe
En segundo lugar tenemos el proceso host rundll32, que se utiliza para ejecutar código desde bibliotecas de enlaces dinámicos (DLL). Estuvo involucrado en el 2 % del total de incidentes y en el 5,1 % de los más críticos.
El bronce va para varias empresas de servicios públicos
Encontramos cinco herramientas incluidas en el 1,9 % de todos los incidentes:
- te.exe, parte del Test Authoring and Execution Framework.
- PsExec.exe, una herramienta para ejecutar procesos en sistemas remotos.
- CertUtil.exe, una herramienta para gestionar información de las autoridades de certificación.
- Reg.exe, la Herramienta del Registro de consola de Microsoft, que se puede utilizar para cambiar y agregar claves en el registro del sistema desde la línea de comandos.
- wscript.exe, Windows Script Host, diseñado para ejecutar scripts en lenguajes de programación.
Estos cinco archivos ejecutables se utilizaron en el 7,2 % de los incidentes críticos.
Los expertos de Kaspersky MDR observaron además el uso de msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt. exe, dllhost.exe, regsvr32.exe, winword.exe y shell32.exe.
Visita este enlace aquí para más información sobre los resultados del informe de análisis de respuesta y detección gestionada.