Bloquear LOLBins de Microsoft con WDAC
El concepto LolBins, LoLBas es la manera que tenemos de identificar ejecutables y funciones del sistema operativo diseñados para un cometido, pero que pueden ser usados para un fin un tanto "alternativo".
El contexto de esto es muy sencillo. Imagina que se compromete un servidor Windows, por el fallo que sea, una vez comprometido debemos realizar otras acciones, escalado, movimientos, exfiltración, lo que sea que tengamos como objetivo. Si en ese host comprometido necesitamos herramientas, tenemos la opción de descargarlas, con el riesgo de que un sistema defensivo las detecte, como un antivirus, o usar binarios del sistema, que gozan de la confianza del antivirus, ya que están diseñados para "EQUIS" cosas, pero nosotros las vamos a usar para el mal.
El más sencillo de los Lolbins para entenderlo es el "hh.exe". Este binario está diseñado para ejecutar las pantallas de ayuda cuando usamos esta función por cualquier parte de Windows, pero si le añadimos una URL, nos hace las veces de navegador, por lo que en un entorno en el que se prohíbe Chrome o Internet Explorer, podríamos navegar y saltarnos esta medida.
Existe distintos proyectos que aglutinan los Lolbins que van saliendo, es decir, que se descubre un uso un poco alternativo y los jefes de Flu Project hablaron ya en su día de esto.
Vamos a comentar otro muy interesante, por ejemplo, el "PresentationHost.exe". Imagina un entorno con Powershell capado, algo habitual o debiera serlo... podemos usar este LolBins que es un intérprete de aplicaciones web para aplicaciones Xaml, siguiendo este magnifico post, para invocar a Powershell desde ese proceso (presentationhost.exe) con lo que podemos evadir Applocker.
La propia Microsoft ha recopilado una serie de binarios muy concretos con un potencial muy peligroso y nos emplaza a bloquearlos mediante Device Guard For Application (WDAC) con una plantilla a tal efecto, mucho más efectivo que Applocker.
Esta medida es muy sencilla de implementar mediante GPO y la directiva de reglas creada.
Si quieres saber más de como crear un conjunto apropiada de políticas, puedes leer esta interesante guía. Por supuesto que mientras decides la viabilidad de bloquear dichos ficheros, puedes empezar por auditar el acceso a estos objetos.
Fuente: Kinomakino
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!