No dejan de aumentar. Las técnicas Living-off-the-Land han ganado notoriedad debido a su eficacia y dificultad para ser detectadas. Los ciberdelincuentes que emplean estas técnicas utilizan herramientas y procesos legítimos del sistema operativo para llevar a cabo actividades maliciosas, lo que hace que las detecciones tradicionales basadas en firmas sean ineficaces.

¿Significa esto que los usuarios estamos indefensos? ¿en qué lugar se sitúa la ciberseguridad de nuestras empresas? ¿cómo identificar estas técnicas y, por ende, protegernos? Desde Bitlifemedia te ayudamos a conocer mejor las cada vez más famosas -y peligrosas- Living-off-the-Land.

¡Ojo! como comentábamos anteriormente, las técnicas Living-off-the-Land implican el uso de herramientas y funcionalidades preexistentes en un sistema operativo o en el software instalado para realizar actividades maliciosas.

A diferencia de otros métodos que dependen de malware o herramientas externas, los atacantes utilizan utilidades legítimas del sistema para pasar desapercibidos. Por ejemplo, algunas de las herramientas más comúnmente explotadas incluyen PowerShell, un lenguaje de scripting y shell de comandos de Windows que ofrece un control extensivo sobre el sistema operativo; WMI o Windows Management Instrumentation, que permite a los administradores de sistemas realizar tareas de administración y configuración, pero también puede ser explotado para ejecutar comandos de manera remota.

También el Task Scheduler, utilizado para programar tareas y ejecutar scripts automáticamente. Y las herramientas Sysinternals Tools, de administración de sistemas que pueden ser mal utilizadas por los atacantes.

Cómo identificar las técnicas Living-off-the-Land

Identificar las técnicas LotL es un desafío debido a que los atacantes utilizan herramientas y procesos legítimos. Sin embargo, hay ciertas señales y prácticas que pueden ayudar a detectarlas. Podemos dividirlas en cuatro grandes grupos.

Monitoreo de PowerShell

El uso indebido de PowerShell es una de las señales más comunes de técnicas LotL. Algunas estrategias para identificar actividades sospechosas incluyen la configuración del PowerShell para registrar todas las transcripciones de los comandos ejecutados. O el monitorizar el uso de PowerShell para detectar patrones inusuales, como la ejecución de scripts desde ubicaciones desconocidas o la invocación de comandos de manera remota.

Análisis de logs de eventos

Revisar los registros de eventos del sistema para detectar actividades inusuales. Como por ejemplo, buscar eventos que indiquen la creación de nuevos scripts o la ejecución de comandos WMI desde ubicaciones no comunes. Y detectar tareas programadas inesperadas o cambios en las tareas existentes.

Comportamientos anómalos

Los comportamientos inusuales pueden ser una indicación de técnicas LotL. Por ejemplo, scripts ejecutados desde directorios temporales o de usuario o actividades que provocan un aumento inesperado en el uso de CPU o memoria.

Integridad de archivos y directorios

Monitorear cambios en archivos y directorios críticos puede ayudar a identificar actividades maliciosas. Para ello, es imprescindible utilizar herramientas de integridad de archivos para detectar cambios en scripts de PowerShell, configuraciones de Task Scheduler y otros archivos sensibles.

Living-off-the-Land

Cómo defenderse de las técnicas Living-off-the-Land

Proteger tu empresa de las técnicas LotL requiere un enfoque multidimensional que incluya la implementación de medidas de seguridad, la capacitación del personal y el uso de herramientas avanzadas de detección.

Aunque hay algunas más, a nivel empresarial las estrategias más efectivas se pueden dividir en seis grupos.

Restricción y monitoreo del uso de PowerShell

Para ello, es imprescindible utilizar políticas de grupo para restringir la ejecución de PowerShell solo a usuarios y scripts autorizados. Y, además, habilitar el registro detallado de todas las actividades de PowerShell y configurar alertas para actividades sospechosas

Control de acceso y privilegios

Asegurar que los usuarios y servicios tengan los menores privilegios necesarios para realizar sus funciones. Y realizar auditorías regulares de permisos y accesos para identificar y corregir configuraciones excesivas o innecesarias.

Implementación de soluciones EDR

Implementar soluciones EDR siempre es una buena opción ya que éstas pueden monitorear, detectar y responder a comportamientos anómalos en tiempo real. A su vez, utilizar análisis comportamental para identificar patrones de uso inusuales y potencialmente maliciosos.

Capacitación y concientización del personal

La formación en ciberseguridad en el entorno empresarial siempre es un plus.  Capacitar a los empleados sobre las técnicas LotL y cómo identificar comportamientos sospechosos puede ser una enorme ventaja.

También el realizar ejercicios de simulación de ataques para evaluar la preparación del personal y mejorar las respuestas a incidentes.

Monitoreo continuo y respuesta a incidentes

Establecer un SOC para el monitoreo continuo de actividades sospechosas y la respuesta rápida a incidentes, y desarrollar y mantener un plan de respuesta a incidentes que incluya procedimientos específicos para abordar las técnicas LotL son otras técnicas de protección.

Actualización y parches de seguridad

Es importante asegurar que todos los sistemas operativos, aplicaciones y herramientas estén actualizados con los últimos parches de seguridad. Así como implementar un programa de gestión de vulnerabilidades para identificar y remediar rápidamente las fallas de seguridad.

Las técnicas Living-off-the-Land representan una amenaza significativa para las empresas debido a su capacidad para eludir las medidas de seguridad tradicionales al utilizar herramientas y procesos legítimos del sistema.

Al implementar las estrategias mencionadas anteriormente, las empresas pueden reducir significativamente el riesgo de ser víctimas de estas sofisticadas técnicas de ciberataque y proteger mejor sus activos y datos sensibles.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre