El uso de las tácticas y herramientas Living off the Land (LotL) por parte de hackers ha sido una tendencia creciente en el panorama de la seguridad cibernética en los últimos tiempos. El concepto de LotL ha existido durante 25 años, pero, ¿Qué significa exactamente?
Los ataques LotL, en términos generales, hacen uso de lo que ya existe en el entorno. En otras palabras, no es necesario desarrollar archivos maliciosos desde cero. Más bien, explotan los puntos de entrada que ya existen en los sistemas de TI.
¿Por qué invertir en malware de primera categoría solo para que las herramientas antivirus lo rechacen una y otra vez? ¿Por qué lanzar un ciberataque como ese cuando tu objetivo ya está lleno de herramientas de ataque perfectamente buenas, sólo esperando por ti?
Cada vez más actores de amenazas llegan a esa conclusión. A medida que mejoran las defensas cibernéticas, los adversarios se están desplazando hacia ataques sigilosos de “living-off-the-land” (LotL) que desafían muchas medidas de seguridad automatizadas.
Aquí también encontrarás algunas formas de comenzar a contrarrestar la amenaza.
¿Qué es LotL?
El término living off the land (“vivir de la tierra“) se refiere a los ataques sin archivos y sin malware que vuelven las herramientas nativas de un sistema en tu contra. Los actores de amenaza utilizan programas y procesos perfectamente legítimos para realizar actividades malignas, por lo que se mezclan en una red y se esconden entre los procesos legítimos para realizar una explotación sigilosa.
Tradicionalmente sucedía lo siguiente: los atacantes explotan un entorno de destino y luego lanzan sus propias herramientas contra la máquina de destino, incluyendo puertas traseras, rootkits, herramientas de harvesting, y más. Hoy día, con las técnicas living off the land, el atacante utiliza la propia máquina comprometida, y los componentes del sistema operativo, para atacar ese sistema aún más y extenderse a otras máquinas del entorno. Así que el sistema operativo de la máquina comprometida se convierte, en esencia, en el juego de herramientas del atacante. El atacante utiliza sus recursos y su lugar en la red para socavar todo el entorno del objetivo.
En otras palabras, los hackers se han dado cuenta de que la manera más sutil y efectiva de ejercer control sobre un sistema es utilizar exactamente los mismos componentes del sistema operativo y los métodos utilizados por los administradores de sistemas.
Algunas de las herramientas comúnmente explotadas para los ataques LotL incluyen los scripts de PowerShell, scripts VB, WMI, Mimikatz, y PsExec. Estas son herramientas administrativas y de resolución de problemas que ya están en el entorno y no activarán las alarmas cuando un atacante las utilice.
Un ejemplo bien conocido de un ataque que utilizó técnicas LotL fue el brote entre 2017-2018 del ransomware Petya/NotPetya, que utilizó un ataque a la cadena de suministro de software como vector inicial para comprometer un proceso de actualización en un programa de contabilidad de software.
Los ataques de LotL, en términos generales, hacen uso de lo que ya existe en el entorno. En otras palabras, no es necesario desarrollar archivos maliciosos desde cero. Más bien, aprovechan los puntos de entrada que ya existen en los sistemas de TI.
Cómo Defenderse o Evitar Ataques LotL
Debido a que los ataques de LotL aprovechan las herramientas de uso común, obviamente eso las hace muy difíciles de detectar. Una recomendación es la formación de equipos púrpura (Purple Team): hacer que los equipos rojos apliquen tácticas de LotL en un ejercicio para garantizar que los equipos azules y el personal del SOC (Centro de Operaciones de Seguridad) puedan detectar y frustrar estas técnicas.
Otra sugerencia: las organizaciones deben sopesar hasta qué punto necesitan usar lenguajes de scripting como PowerShell, que han demostrado ser bastante vulnerables. Siempre que sea posible, deben evitarse. Si no pueden prescindir de estos lenguajes, las alertas deben reforzarse, ya que los ataques de LotL pueden pasar por alto muchas soluciones de ciberseguridad.
Para hacerlo, el sistema de TI debe ser monitoreado constantemente, realizando un seguimiento de absolutamente todos los procesos que se ejecutan allí. De esta forma se pueden descubrir acciones sospechosas, detectar comportamientos anómalos y todo esto se puede resolver antes de que pueda poner en peligro a la empresa.
Recursos Adicionales
Saber qué herramientas y características utilizan estos atacantes te ayudará a protegerse mejor contra estos ataques. Ya existen muchos recursos excelentes. Vamos a destacar algunos de los más útiles:
El proyecto LOLBAS
Este proyecto documenta todos los binarios, scripts y bibliotecas que pueden utilizarse para las técnicas de LotL en Windows. Para más información, visita el Read Me. Más importante para nosotros, ver LOLBAS, que enumera los 115 binarios, scripts y bibliotecas que buscaremos en los próximos pasos.
https://github.com/LOLBAS-Project/LOLBAS/blob/master/README.mdGTFOBins
Inspirado en LOLBAS, GTFOBins documenta 188 binarios Unix de los que se puede abusar y, por tanto, utilizar como parte de ataques LOTL. Consulteael sitio aquí – GTFOBins.
JPCERT
JPCERT (El CERT japonés) publica mucho contenido de ciberseguridad. Ya en 2016, publicaron un post sobre los comandos de Windows de los que abusan los atacantes, que sigue siendo válido hoy en día. Los desglosa en tres categorías: investigación inicial, reconocimiento y propagación de la infección. Consulta el post completo aquí.
Operaciones raras de Azure Sentinel
Una de las detecciones de Azure Sentinel busca operaciones raras que no deberían ocurrir fuera de unas pocas cuentas pero que pueden ser útiles para los atacantes. Ver el post aquí para las operaciones a buscar y las cuentas a ignorar.
https://github.com/Azure/Azure-Sentinel/blob/master/Detections/OfficeActivity/RareOfficeOperations.yamlEstos binarios, bibliotecas, scripts, comandos y operaciones pueden ser un gran recurso para ayudar a detectar y bloquear los ataques de LotL.
Finalmente, aquí hay un pequeño checklist de contramedidas que se deben tomar para este tipo de amenaza:
- Supervisar las herramienta de doble uso (por ejemplo,
psexec.exe) dentro de la red - Aplicar una lista blanca a las aplicaciones
- Máxima atención a los correos electrónicos de remitentes desconocidos y / o con contenido sospechoso
- Tener cuidado con los archivos adjuntos de Office , especialmente si requieren que habilites las funciones de macro cuando se abren
- Aplicar siempre actualizaciones al sistema operativo y al software instalado
- Habilitar sistemas de seguridad avanzados para las cuentas empleadas en la empresa, si están disponibles (por ejemplo, autenticación 2FA)
- Usar contraseñas complejas y seguras
- Cerrar sesión en la computadora al final de la sesión
- Evitar el uso de aplicaciones que transmitan información confidencial o accedan a cuentas en línea a través de redes wifi públicas
- Descargar aplicaciones de terceros solo de tiendas oficiales/confiables
Palabras Finales
Para que un ciberataque tenga éxito, ya no es necesario que entre un archivo malicioso a tu sistema; tu propio sistema puede proporcionar la puerta abierta perfecta. Por eso es esencial que las empresas no solo protejan su perímetro contra amenazas externas, sino que también monitoreen de cerca lo que sucede en el interior, incluso los procesos que se ejecutan en el dispositivo final.
Por el lado de la seguridad, emplear seguridad proactiva con monitoreo 24/7 por parte de software automatizado y expertos en caza de amenazas, las organizaciones pueden identificar más rápida y efectivamente , investigar y mitigar el comportamiento anómalo. Combinar las mejores herramientas con las mentes más brillantes para neutralizar las amenazas activas con velocidad y precisión, es el mejor enfoque para defenderse de estos ataques.
