Escribo con frecuencia sobre la amenaza del malware y cómo los actores de amenazas lo utilizan para hacer de todo, desde robar información personal hasta apoderarse completamente de los dispositivos de los usuarios o agregarlos a botnets. Estos programas maliciosos se propagan a través de diversas formas de phishing, ataques ClickFix, publicidad maliciosa e incluso aplicaciones que han sido examinadas y aprobadas por Apple y Google.
Sin embargo, a medida que los usuarios (y las herramientas de seguridad) han mejorado en la identificación de los signos de una infección de malware y son lo suficientemente inteligentes como para evitarlos en primer lugar, algunos ciberdelincuentes han cambiado de táctica: los ataques Living Off the Land (LOTL) explotan utilidades y herramientas integradas en el sistema que tienen menos probabilidades de generar señales de alerta.
Cómo funcionan los ataques a Living Off the Land
Como describe Huntress, LOTL se refiere a utilizar recursos locales en lugar de importar nuevos desde el exterior. En lugar de introducir malware personalizado en la máquina de un usuario, los atacantes explotan herramientas como PowerShell, Windows Management Instrumentation (WMI), utilidades integradas y aplicaciones confiables como Microsoft Teams con fines maliciosos. Es poco probable que los programas antivirus marquen estas herramientas como sospechosas (en la mayoría de los casos, no lo son) porque se mezclan con los procesos normales del sistema y son supuesto estar allí.
Al secuestrar herramientas legítimas, los actores de amenazas pueden acceder a sistemas y redes, ejecutar código de forma remota, escalar privilegios, robar datos o incluso instalar otras formas de malware. La interfaz de línea de comandos de PowerShell permite la descarga de archivos y la ejecución de comandos, lo que la convierte en una herramienta popular para los delincuentes, junto con WMI, aunque los archivos binarios de Unix y los controladores firmados de Windows también se explotan con frecuencia.
Los atacantes de LOTL pueden emplear kits de explotación, que pueden difundir malware sin archivos mediante phishing u otras formas de ingeniería social, así como credenciales robadas y ransomware sin archivos para obtener acceso a herramientas nativas. Malwarebytes Labs identificó recientemente una campaña difundida a través de actualizaciones falsas de Google Meet para explotar una función legítima de inscripción de dispositivos Windows, ejecutada a través de un servidor de ataque alojado en una plataforma de administración de dispositivos móviles de buena reputación.
¿Qué opinas hasta ahora?
Cómo detectar un ataque LOTL
Muchas tácticas para identificar, abordar y prevenir ataques LOTL están dirigidas a organizaciones con grandes infraestructuras que defender, pero los usuarios individuales también pueden (y deben) estar atentos a este tipo de amenaza. Como siempre, esté atento a signos de phishing y otras formas de ingeniería social que los delincuentes utilizan para robar credenciales y obtener acceso a redes y dispositivos. Tenga cuidado con las comunicaciones no solicitadas que contengan enlaces, notificaciones sobre software y actualizaciones de seguridad, y cualquier cosa que provoque curiosidad, ansiedad, urgencia o miedo. Instale actualizaciones de seguridad tan pronto como estén disponibles para evitar que se aprovechen las vulnerabilidades.
Cuando se trata de detectar LOTL específicamente, Huntress recomienda buscar comportamientos inusuales en lugar de solo archivos o programas sospechosos; por ejemplo, herramientas que se ejecutan fuera de sus contextos normales o en patrones inesperados, así como conexiones de red inusuales desde utilidades de sistemas. Supervise y registre el uso de herramientas comúnmente explotadas y audite cualquier herramienta de acceso remoto e inscripciones de dispositivos.