Listado de bloqueos de LOLBins de Microsoft con WDAC

 Estimados amigos de Inseguros !!!

Mucho se ha hablado ya de los LolBins por la red, pero por si no están al tanto...

El concepto LolBins, LoLBans es la manera que tenemos de identificar ejecutables y funciones del sistema operativo diseñados para un cometido, pero que pueden ser usados para un fin un tanto..."alternativo"...

El contexto de esto es muy sencillo. Imagina que se compromete un servidor Windows, por el fallo que sea, una vez comprometido debemos realizar otras acciones, escalado, movimientos, exfiltración... lo que sea que tengamos como objetivo. Si en ese host comprometido necesitamos herramientas, tenemos la opción de descargarlas, con el riesgo de que un sistema defensivo las detecte, como un antivirus, o usar binarios del sistema... que gozan de la confianza del antivirus, ya que están diseñados para "EQUIS" cosas, pero nosotros las vamos a usar para el mal.

El más sencillo de los lolbins para entenderlo es el hh.exe. Este binario está diseñado para ejecutar las pantallas de ayuda cuando usamos esta función por cualquier parte de Windows, pero si le añadimos una url, nos hace las veces de navegador, por lo que en un entorno en el que se prohíbe Chrome o Internet Explorer, podríamos navegar y saltarnos esta medida... Sencillo el concepto...

Existe distintos proyectos que aglutinan los lolbins que van saliendo, es decir, que se descubre un uso un poco alternativo... y los jefes de Flu Project hablaron ya en su día de esto.

Vamos a comentar otro muy interesante, por ejemplo, el PresentationHost.exe . Imagina un entorno con Powershell capado, algo habitual o debiera serlo... podemos usar este LolBins que es un intérprete de aplicaciones web para aplicaciones Xaml, siguiendo este magnifico post, para invocar a Powershell desde ese proceso (Presen...) con lo que podemos evadir Applocker...

Pero como siempre, no me gusta soltar la liebre y dejar al lector con más miedo que hambre :-)

La propia Microsoft ha recopilado una serie de binarios muy concretos con un potencial muy peligroso y nos emplaza a bloquearlos mediante Device Guard For Application ( WDAC) con una plantilla a tal efecto, mucho más efectivo que Applocker... 

Esta medida es muy sencilla de implementar mediante GPO y la directiva de reglas creada.

Si quieres saber más de como crear un conjunto apropiada de políticas, puedes leer esta interesante guía.

Por supuesto que mientras decides la viabilidad de bloquear dichos ficheros, puedes empezar por auditar el acceso a estos objetos. 

Como has podido ver, seguimos con esa visión de aportar elementos ofensivos y defensivos, según el role que te toque desempeñar.

Si estás interesado en servicios de formación donde puedas ampliar tu conocimiento tanto ofensivo como defensivo, puedes consultar el Master de Ciberseguridad en Entornos Microsoft que hemos preparado en Verne para este 2021-2022.

Gracias por leerme !!!