{"id":26092,"date":"2021-09-30T15:05:14","date_gmt":"2021-09-30T13:05:14","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26092"},"modified":"2021-09-30T15:06:21","modified_gmt":"2021-09-30T13:06:21","slug":"most-used-lolbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/most-used-lolbins\/26092\/","title":{"rendered":"Las t\u00e9cnicas LOLBins m\u00e1s utilizadas por los ciberdelincuentes"},"content":{"rendered":"

Los ciberdelincuentes llevan utilizando durante mucho tiempo programas leg\u00edtimos y componentes del sistema operativo para atacar a los usuarios de Microsoft Windows, una t\u00e1ctica conocida como Living off the Land<\/a>. Con ello, intentan matar varios p\u00e1jaros de un tiro, reduciendo el coste de desarrollar un conjunto de herramientas de malware<\/em>, minimizando la huella de su sistema operativo y ocultando su actividad entre acciones leg\u00edtimas inform\u00e1ticas.<\/p>\n

En otras palabras, el objetivo principal es dificultar la detecci\u00f3n de su actividad maliciosa. Por esta raz\u00f3n, los expertos en seguridad han supervisado durante mucho tiempo la actividad de ejecutables, scripts<\/em> y bibliotecas potencialmente inseguros, llegando incluso a mantener una especie de registro bajo el proyecto LOLBAS en GitHub<\/a>.<\/p>\n

Nuestros compa\u00f1eros del servicio\u00a0Kaspersky Managed Detection and Response (MDR)<\/a> que protegen a numerosas empresas en una amplia gama de \u00e1reas comerciales, a menudo se encuentran con esta estrategia en ataques de la vida real. En su informe de an\u00e1lisis de respuesta y detecci\u00f3n gestionada<\/a>, examinan los componentes del sistema que se utilizan con m\u00e1s frecuencia para atacar a las empresas actuales y esto es lo que descubrieron.<\/p>\n

El oro es para PowerShell<\/h2>\n

PowerShell, un motor de software<\/em> y un script<\/em> de secuencias de comandos con una interfaz de l\u00ednea de comandos, es la herramienta leg\u00edtima m\u00e1s com\u00fan entre los ciberdelincuentes, a pesar de los esfuerzos de Microsoft por hacerla m\u00e1s segura y controlable. De los incidentes identificados por nuestro servicio de MDR, el 3,3 % involucraba un intento de explotaci\u00f3n de PowerShell. Adem\u00e1s, al restringir el estudio exclusivamente a incidentes cr\u00edticos, vemos que PowerShell intervino en uno de cada cinco (el 20,3 %, para ser precisos).<\/p>\n

La plata es para a rundll32.exe<\/h2>\n

En segundo lugar tenemos el proceso host<\/em> rundll32, que se utiliza para ejecutar c\u00f3digo desde bibliotecas de enlaces din\u00e1micos (DLL). Estuvo involucrado en el 2 % del total de incidentes y en el 5,1 % de los m\u00e1s cr\u00edticos.<\/p>\n

El bronce va para varias empresas de servicios p\u00fablicos<\/h2>\n

Encontramos cinco herramientas incluidas en el 1,9 % de todos los incidentes:<\/p>\n