Qué son los ataques Living off the land (LotL) y cómo prevenirlos

Ataques caballo de Troya o Living off the land

Los ataques Living off the land (LotL), también conocidos como ataques caballo de Troya, son aquellos en los que los cibercriminales consiguen acceder a un sistema utilizando herramientas que forman parte de los entornos digitales empresariales o que proporcionan de forma nativa los sistemas operativos.

Es decir, son ataques que se valen de programas que se utilizan de forma legítima y que al mezclarse con funciones administrativas habituales, tienen más posibilidades de pasar desapercibidos y no ser detectados por los métodos habituales de seguridad.

Aunque no son ataques nuevos, su incidencia ha crecido mucho en los últimos años, entre otras cosas, porque ofrecen importantes ventajas a los ciberdelincuentes. Por un lado,  como hemos dicho antes, porque resultan más difíciles de detectar. Por otro, porque al explotar puntos de entrada que ya existen, no necesitan desarrollar código malicioso desde cero. Y, por último, porque es más complicado identificar su procedencia.

Cómo se lleva a cabo un ataque LotL

Los ataques LotL son bastante fáciles de ejecutar y permiten a un atacante a acceder y moverse lateralmente por la red de una organización.

El primer paso es introducirse en una red a través de un dispositivo.

Las posibilidades para acceder son muchas, pero en este tipo de ataque lo más común es inyectar código en herramientas que usan los administradores de sistemas, debido a que utilizan reglas y firmas que hacen más difícil que se detecte si se están utilizando para un fin ilegítimo.

Por ejemplo, aquellas que utilizan lenguajes de scripting, como PowerShell, VB, WMI, Mimikatz; los comandos propios del sistema operativo como “net”, “arp” o “nltest”, la interfaz de administración de Windows (WMI) o herramientas de sysinternals como PsExec o Process Explorer.

Una vez dentro, los atacantes ejecutan el código malicioso y se sirven de las herramientas legítimas del sistema operativo para mantener el acceso a la red, ir consiguiendo mayores privilegios y, finalmente, moverse de manera lateral, accediendo a otros dispositivos conectados al entorno.

Por qué son tan difíciles de detectar estos ataques

La principal razón de la efectividad de estos ataques es que se realizan a través de programas que tienen permiso para ejecutarse en el ordenador. Es decir, están incluidos en las listas blancas de los Centros de Operaciones de Seguridad) o como excepciones en los sistema de protección de los equipos e infraestructuras de la empresa, los EDR. Esto les permite superar sin problemas los análisis habituales de detección de amenazas.

Y esta es la razón por la que en raras ocasiones se detecta el ataque en las primeras fases de desarrollo. De hecho, y muchas veces, cuando por fin los sistemas de seguridad son conscientes la red ha sufrido el ataque, las posibilidades de reacción son más limitadas.

Cómo podemos protegernos de este tipo de ataques

  • Contar con una seguridad proactiva que monitorice la red y ofrezca información sobre el comportamiento de los usuarios en tiempo real y que sea capaz de detectar y atajar posibles amenazas a partir de ataques predefinidos.
  • Reforzar el sistema de alertas.
  • Monitorizar las herramientas de doble uso para detectar comportamientos anómalos.
  • Restringir el número de aplicaciones en las listas blancas a aquellas que son efectivamente esenciales.
  • Utilizar doble factor de autenticación en todos los sistemas y procesos.
  • Restringir el uso de PowerShell a administradores o usuarios con necesidades específicas.
  • Tener los equipos y todos los sistemas siempre actualizados.
  • Revisar periódicamente los permisos y privilegios de los usuarios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Blue Captcha Image
Refrescar

*