Los ciberdelincuentes adoran esta herramienta antigua de Windows, pero una utilería de línea de comandos poco conocida se ha convertido en su nuevo secreto.

Un reciente análisis de 700,000 incidentes de seguridad ha revelado que los ciberdelincuentes explotan de manera extensiva herramientas de Microsoft de confianza para infiltrarse en sistemas sin ser detectados. Aunque el uso de utilidades nativas, conocido como tácticas Living off the Land (LOTL), no es un fenómeno nuevo, los últimos datos sugieren que su prevalencia es mayor de lo que se pensaba.

Un sorprendente 84% de los ataques de alta gravedad involucraron el uso de binarios de sistema legítimos ya presentes en las máquinas. Esto pone en entredicho la efectividad de las defensas convencionales, incluso aquellas promocionadas como las mejores en antivirus o protección contra malware. Entre las herramientas comúnmente mal utilizadas se encuentran powershell.exe y wscript.exe.

Sin embargo, el verdadero hallazgo fue el predominio de netsh.exe, una utilidad de línea de comandos para la gestión de la configuración de red. Este programa se identificó en un tercio de los ataques más significativos. Aunque sigue siendo utilizado para la gestión de cortafuegos y interfaces, su frecuente aparición en cadenas de ataque sugiere que su potencial de abuso ha sido subestimado.

PowerShell continúa siendo una herramienta clave tanto para operaciones legítimas como para actividades maliciosas. A pesar de que el 96% de las organizaciones utiliza PowerShell, se halló en funcionamiento en un 73% de los puntos finales, considerablemente más allá de lo que se esperaría solo por uso administrativo. La investigación de Bitdefender reveló que las "aplicaciones de terceros que ejecutan código de PowerShell sin una interfaz visible" eran una causa común de este fenómeno.

Esta naturaleza de doble uso complica la detección, especialmente para herramientas no respaldadas por motores conscientes del comportamiento. Esto plantea preguntas sobre si las mejores soluciones de EPP están suficientemente ajustadas para considerar esta línea difusa entre el uso normal y el malicioso.

Otro hallazgo inesperado fue el uso continuado de wmic.exe, una herramienta que Microsoft ha descontinuado. A pesar de su antigüedad, el análisis demuestra que aún está presente en muchas entidades, a menudo invocada por software que busca información del sistema. Su apariencia legítima la convierte en una opción atractiva para los atacantes que buscan pasar desapercibidos.

Para abordar este problema, Bitdefender ha desarrollado PHASR (Proactive Hardening and Attack Surface Reduction). Esta herramienta emplea un enfoque dirigido que va más allá de simplemente deshabilitar las herramientas. "PHASR no solo bloquea herramientas enteras, sino que también supervisa y detiene las acciones específicas que los atacantes utilizan dentro de ellas", explicó la compañía. Sin embargo, este enfoque no es sin sacrificios. La dilema fundamental de "no podemos vivir con ellos, ni sin ellos" sigue sin resolverse.