¿Qué es LOLBAS? Definición | Living Off The Land

La abreviatura LOLBAS significa un método que hace un mal uso de los programas existentes en una computadora, por ejemplo, programas del sistema operativo, para funciones dañinas o para malware. El proyecto LOLBAS recopila información sobre binarios, scripts o bibliotecas utilizables y los pone a disposición del público en Internet. La defensa contra tales ataques en computadoras puede ser difícil.

LOLBAS

Es la abreviatura de «Living Off The Land Binaries And Scripts» y significa un método de ataque a las computadoras. «Living Off The Land» significa literalmente «alimentarse de la naturaleza» y describe muy bien el método. Los binarios y scripts de Living Off The Land son archivos ejecutables, scripts o bibliotecas que ya existen en una computadora, son proporcionados por el sistema operativo o provienen de fuentes confiables.

Pueden utilizarse incorrectamente para determinadas funciones maliciosas. El código de malware utiliza los recursos que están «naturalmente» disponibles en una computadora, como los programas firmados por un proveedor o por el sistema operativo.

Los scripts de PowerShell como una amenaza potencial para Windows

El término «Living Of The Land» fue acuñado por Christopher Campbell y Matt Graeber. Las actividades dañinas a menudo pasan desapercibidas debido al concepto LOL, ya que los programas en ejecución son herramientas y aplicaciones del sistema preinstaladas regularmente. Con Living Off The Land Binaries And Scripts, por ejemplo, se pueden descargar archivos sin que nadie se dé cuenta, se pueden compilar códigos de programa, se pueden realizar operaciones con archivos o se pueden robar datos de inicio de sesión. Por ejemplo, powershell.exe o rundll32.exe a menudo se utilizan incorrectamente en los sistemas Windows.

El proyecto LOLBAS iniciado por Oddvar Moe existe en Internet. Proporciona información sobre binarios, scripts y bibliotecas que pueden ser utilizados por un equipo rojo, por ejemplo, como parte de pruebas de penetración. El objetivo del proyecto de código abierto es documentar todos los scripts, binarios y bibliotecas que se pueden utilizar para el método Living-Off-The-Land. Si determinados binarios, scripts o bibliotecas cumplen con los requisitos del proyecto, la información se publica en Internet. Está disponible una lista de búsqueda de LOLBins, LOLLibs y LOLScripts.

Criterios para scripts, bibliotecas y binarios LOLBAS

Para que se consideren relevantes para el proyecto Living Off The Land Binaries And Scripts, los scripts, bibliotecas o binarios deben estar disponibles en el sistema de forma predeterminada o pueden instalarse a través de fabricantes de software confiables o fuentes de código abierto. Además, deben proporcionar funciones inesperadas que puedan reutilizarse con fines de ataque. Tales funciones son, por ejemplo:

• la ejecución de código de programa o scripts
• compilar el código del programa
• omitiendo el control de cuentas de usuario
• la lectura del tráfico de la red o las actividades de los usuarios
• carga lateral o secuestro de archivos DLL
• proceso de volcado de memoria
• leer los datos de inicio de sesión
• Operaciones de archivos como descargas y cargas de archivos

Protección contra ataques LOLBAS

La protección contra los ataques de LOLBAS es difícil. Dado que los programas en ejecución son herramientas internas del sistema operativo o software de fuentes confiables, las acciones dañinas de los programas antivirus y antimalware estándar a menudo pasan desapercibidas. Deben tomarse precauciones especiales para su protección.

En algunos casos, estos deben ser implementados por el sistema operativo o por los propios fabricantes de software. Además, se pueden utilizar soluciones de protección avanzadas e inteligentes, que se aplican en varios puntos del sistema a monitorear. Por ejemplo, el tráfico de la red y el comportamiento de varios procesos se monitorean continuamente para identificar anomalías.