- Netsh.exe es la herramienta de Windows más abusada, y todavía se esconde a la vista
- PowerShell aparece en el 73% de los puntos finales, no solo en las manos de administración
- El sorprendente regreso de WMIC muestra a los atacantes favorece las herramientas que ya nadie está mirando
Un nuevo análisis de 700,000 incidentes de seguridad ha revelado cuán extensamente los cibercriminales explotan las herramientas de confianza de Microsoft para violar los sistemas.
Si bien la tendencia de los atacantes que usan utilidades nativas, conocidas como tácticas de Vivir Off the Land (LOTL), no es nueva, los últimos datos de la plataforma GravityZone de Bitdefender sugieren que está aún más generalizado de lo que se creía anteriormente.
Un asombroso 84% de los ataques de alta severidad involucraba el uso de binarios del sistema legítimos ya presentes en las máquinas. Esto socava la efectividad de las defensas convencionales, incluso las comercializadas como el mejor antivirus o la mejor protección de malware.
Algunas de las herramientas más comúnmente abusadas serán muy familiares para los administradores del sistema, incluidos Powershell.exe y WScript.exe.
Sin embargo, una herramienta surgió inesperadamente en la parte superior: netsh.exe. Se encontró una utilidad de línea de comandos para administrar la configuración de la red, netsh.exe en un tercio de los principales ataques, y aunque todavía se usa para la gestión de firewall e interfaz, su apariencia frecuente en los aspectos de ataque sugiere que su potencial de uso indebido se subestima.
PowerShell sigue siendo un componente clave de las operaciones legítimas y la actividad maliciosa, aunque el 96% de las organizaciones usan PowerShell, se encontró que se ejecuta con el 73% de los puntos finales, mucho más allá del alcance de lo que se esperaría solo con el uso administrativo.
Bitdefender descubrió que “las aplicaciones de terceros que ejecutan el código PowerShell sin una interfaz visible” eran una causa común.
Esta naturaleza de doble uso dificulta la detección, especialmente para las herramientas no respaldadas por motores de comportamiento.
Plantea preguntas sobre si las mejores soluciones EPP están adecuadamente sintonizadas para dar cuenta de esta línea borrosa entre el uso normal y nefasto.
Otro hallazgo sorprendente fue el uso continuo de WMIC.exe, una herramienta que Microsoft ha desaprobado.
A pesar de su edad, el análisis muestra que todavía está ampliamente presente en los entornos, a menudo invocado por la información del sistema de búsqueda de software. Es particularmente atractivo cuando los atacantes intentan mezclar debido a su apariencia legítima.
Para abordar este problema, Bitdefender desarrolló PHASR (endurecimiento proactivo y reducción de la superficie de ataque). Esta herramienta emplea un enfoque específico que va más allá de simplemente deshabilitar las herramientas.
“Phasr va más allá de bloquear herramientas enteras, también monitorea y detiene las acciones específicas que los atacantes usan dentro de ellas”, dijo la compañía.
Aún así, este enfoque no está exento de compensaciones. El dilema fundamental, “no puede vivir con ellos, no puede vivir sin ellos”, sigue sin resolverse.
