El uso de tácticas y herramientas de Living off the Land (LotL) por parte de ciberdelincuentes ha sido una tendencia creciente en el panorama de la ciberseguridad en los últimos tiempos. El concepto de LotL no es nuevo y ha existido durante 25 años. El uso de herramientas del sistema como puertas traseras era común en el pasado, y se ha mencionado en algunos artículos y revistas electrónicas como Phrack. Sin embargo, en los últimos años, ha vuelto y ha crecido en importancia.
Los ataques sin archivos, de los que se habla a menudo, son un subconjunto de ataques de LotL. La explotación de las herramientas de doble uso y las herramientas de solo memoria también se mencionan a menudo bajo el paraguas de LotL.
Los atacantes que usan las tácticas de LotL usan herramientas confiables de sistemas preinstalados y de uso común para llevar a cabo su trabajo. Puede que no sea obvio, pero hay más de 100 herramientas del sistema de Windows que pueden ser utilizadas por los ciberataques con propósitos infames.
Los atacantes cibernéticos utilizan estas herramientas por varias razones, a menudo en un esfuerzo por ocultar su actividad: esperan que su actividad maliciosa se oculte en un mar de procesos legítimos.
Además de permitir que los atacantes operen sigilosamente, el uso de las herramientas de LotL significa que a menudo es difícil para los investigadores determinar quién está detrás de la actividad maliciosa si la descubren. Los grupos de ataques cibernéticos generalmente se identifican por el malware que utilizan, con grupos sofisticados de delitos cibernéticos y piratas informáticos respaldados por el estado que usan un malware personalizado, lo que facilita la identificación si están detrás de cierta actividad. Sin embargo, si se lleva a cabo un ataque con herramientas LotL y malware no personalizado, es mucho más difícil determinar quién podría estar detrás de dicha actividad.
"Las herramientas de LotL significan que a menudo es difícil para los investigadores determinar quién está detrás de la actividad maliciosa"
Otras razones para el crecimiento en la actividad de LotL por parte de los ciberdelincuentes es una disponibilidad reducida de vulnerabilidades de día cero y el esfuerzo requerido para encontrarlas. Las mejoras en la seguridad del navegador han hecho que tales vulnerabilidades sean más difíciles de encontrar. Los programas de recompensas de errores han eliminado las vulnerabilidades fáciles de encontrar, de modo que solo los investigadores y atacantes más dedicados pueden eliminar las vulnerabilidades críticas. En algunos casos, las herramientas del sistema están en la lista blanca y pueden ser el único proceso que se puede ejecutar en un sistema seguro, lo que las convierte en las únicas herramientas disponibles para el atacante.
Estas razones combinadas significan que los atacantes a menudo recurren cada vez más a las herramientas de LotL para llevar a cabo sus actividades.
Las herramientas legítimas que a menudo son explotadas por los delincuentes cibernéticos para los ataques de LotL incluyen:
· Scripts de PowerShell
· VB scripts
· WMI
· Mimikatz
· PsExec
En general, todas estas herramientas tienen usos legítimos en los dispositivos, por lo que puede ser difícil para las víctimas y el software de seguridad determinar cuándo se están explotando con fines maliciosos. Con solo las herramientas de LotL, los atacantes podrían obtener acceso remoto a un dispositivo, robar datos o interrumpir sus operaciones, sin necesidad de usar ningún malware.
Puede leer una descripción más detallada de los ataques LotL en el libro blanco que Symantec publicó el año pasado: Cómo vivir de la tierra y las técnicas de ataque sin filo.
Extracto de: https://medium.com/threat-intel/what-is-living-off-the-land-ca0c2e932931
%2014.04.55.png)
