Skip to content

¿Qué son los living-off-the-land binaries (LOLBins) y cómo cazarías su abuso?

Respuesta breve

Los LOLBins (living-off-the-land binaries) son herramientas del sistema legítimas, firmadas y preinstaladas — como certutil, bitsadmin, mshta, rundll32, regsvr32, wmic, powershell — que los atacantes abusan para descargar, ejecutar o persistir mientras se camuflan con la actividad administrativa normal. Como el propio binario es de confianza, no puedes detectar sobre el archivo; detectas sobre el contexto: argumentos de línea de comandos anómalos, procesos padre inusuales, conexiones de red inesperadas desde estas herramientas, y ejecución desde rutas extrañas o por usuarios inusuales.

Los living-off-the-land binaries — LOLBins — son la forma que tiene el atacante de esconderse a plena vista. Son herramientas legítimas, firmadas, distribuidas por Microsoft (o preinstaladas de otro modo) reutilizadas con fines maliciosos. Como el binario es de confianza, los controles tradicionales basados en archivos lo dejan pasar.

Sospechosos habituales

certutil (descarga/codificación), bitsadmin (descarga/persistencia), mshta, rundll32 y regsvr32 (proxy execution), wmic (ejecución/movimiento lateral), powershell y cmd, msbuild, installutil. El proyecto LOLBAS cataloga estas herramientas y las técnicas que habilitan. ATT&CK agrupa gran parte de esto bajo signed binary proxy execution (T1218).

Por qué el archivo es lo incorrecto a detectar

El ejecutable es genuino y a menudo está en lista blanca, así que la detección basada en hash o firma es inútil. Debes detectar sobre cómo se está usando.

Dónde vive la señal

  • Línea de comandoscertutil -urlcache -f http://... o argumentos de decodificación base64 están muy fuera del uso administrativo normal. El registro completo de la línea de comandos es esencial.
  • Proceso padre — un winword.exe o mshta.exe que engendra un powershell.exe es anómalo; un certutil benigno rara vez lo lanza una aplicación de Office.
  • Comportamiento de red — un certutil o bitsadmin que hace conexiones salientes a hosts no corporativos es un fuerte indicio.
  • Ruta y usuario — ejecución desde directorios temporales/escribibles por el usuario o por cuentas que nunca ejecutan estas herramientas.

Enfoque de caza

Establece una línea base del uso normal de cada binario, y luego caza las desviaciones anteriores. Promueve los hallazgos duraderos a reglas Sigma etiquetadas con T1218.

Por qué importa

Los entrevistadores senior esperan que sepas que el binario es de confianza, así que la detección es conductual — línea de comandos, linaje y red — y que la visibilidad de la línea de comandos es el requisito previo.

Posibles preguntas de seguimiento

  • ¿Por qué poner el binario en lista blanca no ayuda contra el abuso de LOLBin?
  • ¿Qué tiene de sospechoso que certutil o bitsadmin hagan conexiones salientes?
  • ¿Cómo ayuda aquí el análisis de procesos padre-hijo?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.