Cómo desalojar a los atacantes que viven en tu tierra


A medida que las defensas cibernéticas mejoran, los adversarios cambian a ataques sigilosos de «vivir de la tierra» que usan las propias herramientas de los objetivos contra ellos. Aquí hay algunos consejos para defender tu territorio.

(Imagen: lovelyday12 a través de Adobe Stock)

(Imagen: lovelyday12 a través de Adobe Inventory)

¿Por qué invertir en malware de primera categoría solo para que las herramientas antivirus lo rechacen una y otra vez? ¿Por qué lanzar un ciberataque como ese cuando tu objetivo ya está lleno de herramientas de ataque perfectamente buenas, solo esperándote?

Cada vez más actores de amenazas están llegando a esa conclusión. A medida que las defensas cibernéticas mejoran, los adversarios están cambiando a ataques sigilosos de «vivir fuera de la tierra» (LotL) que desafían muchas medidas de seguridad automatizadas.

Aquí hay algunas formas de comenzar a contrarrestar la amenaza.

¿Qué es lotl?
El término «vivir de la tierra» se refiere a ataques sin archivos y sin malware que convierten las herramientas nativas de un sistema en su contra. Los malos actores usan programas y procesos perfectamente legítimos para realizar actividades maliciosas, mezclándose así en una crimson y ocultándose entre los procesos legítimos para llevar a cabo una hazaña sigilosa.

«Tradicionalmente, los atacantes han explotado un entorno objetivo y luego han introducido sus propias herramientas en las máquinas objetivo, incluidas puertas traseras, rootkits, herramientas de cosecha y más», dice Ed Skoudis, veterano de seguridad e teacher del Instituto SANS. «Con las técnicas de vivir fuera de la tierra, el atacante utiliza la máquina comprometida y los componentes de su sistema operativo para atacar aún más ese sistema y propagarse a otras máquinas en el entorno. Entonces el sistema operativo de la máquina comprometida se convierte, en esencia, el conjunto de herramientas del atacante. El atacante utiliza sus recursos y su ubicación en la purple para socavar todo el entorno de selección «.

En otras palabras, los delincuentes se han dado cuenta de que la forma más sutil y efectiva de ejercer el handle sobre un sistema es utilizar exactamente los mismos componentes y métodos del sistema operativo utilizados por los administradores del sistema, dice Skoudis.

Algunas de las herramientas comúnmente explotadas para los ataques de LotL incluyen scripts de PowerShell, scripts de VB, WMI, Mimikatz y PsExec. Estas son herramientas administrativas y de solución de problemas que ya están en el entorno y no activarán las alarmas cuando un atacante las use.

Un ejemplo bien conocido de un ataque que utilizó técnicas de LotL fue el brote del ransomware Petya / NotPetya de 2017 a 2018, que utilizó un ataque de la cadena de suministro de software como el vector inicial para comprometer un proceso de actualización en un programa de contabilidad de software.

Las buenas defensas hacen que los ataques de LotL sean más probables
Los ataques de LotL no son nuevos. Chester Wisniewski, científico investigador principal de Sophos, dice que son el resultado de mejores defensas en seguridad. En otras palabras, los equipos de seguridad son víctimas de su propio éxito.

«Estas tácticas han existido durante décadas, pero en los últimos años se han convertido en la corriente principal», dice Wisniewski.

De hecho, en 2019 la mayoría de los ataques en la investigación e informes de incidentes de CrowdStrike fueron «libres de malware» por primera vez.

«Las defensas de seguridad y los parches han mejorado dramáticamente en los últimos cinco años», dice Wisniewski, «lo que hace que sea más difícil ejecutar código malicioso en cualquier sistema dado. Las herramientas del sistema a menudo están en la lista blanca y pueden ser el único proceso que se puede ejecutar en un sistema seguro, haciéndolos objetivos obvios para un atacante. Estos cambios en las tácticas están impulsando las herramientas de seguridad para centrarse más en comportamientos y menos en muestras de archivos específicos «.

Skoudis agrega: «Con la lista blanca de aplicaciones, los atacantes a menudo descubren que sus propias herramientas simplemente no se ejecutarán en el sistema operativo de destino. Pero los componentes del sistema operativo en sí se ejecutarán, por lo que los atacantes los usan. Es bastante pernicioso: el sistema operativo es un tesoro de programas y guiones que el atacante puede abusar «.

Según los investigadores, todo tipo de entorno es inclined a este tipo de ataque. Pero es más probable que los atacantes usen técnicas de LotL en entornos particularmente bloqueados o bien monitoreados.

«Si el entorno es débil o está mal instrumentado, los atacantes no tienen que recurrir a ataques fuera de la tierra. Pero en redes especialmente seguras, los atacantes tienen esta opción para ser incluso (más sigilosos y más) efectivos», dice Skoudis.

Una vez que han logrado encontrar formas de cooptar las herramientas de administración para sus propios fines, Wisniewski dice que los ataques pueden extenderse ampliamente: operadores de ransomware que usan herramientas de implementación de software package para entregar el código de ransomware, por ejemplo, o actores del estado-nación que usan Computer system Mac y Linux como un lugar para esconderse mientras fabrican herramientas de ataque utilizando lenguajes de script integrados como Perl, Python o incluso C ++.

«También vemos que el malware abusa de las funciones integradas del sistema operativo Home windows, como una variante hostil y mutante de MacGyver, que domina la máquina utilizando solo su ingenio y las herramientas que puede crear con materiales locales», dice.

Defensa contra los ataques de LotL
Debido a que los ataques LotL aprovechan las herramientas de uso común, obviamente eso las hace muy difíciles de detectar. Pero Skoudis recomienda «equipo púrpura»: que los terapeutas rojos apliquen las tácticas de LotL en un ejercicio para garantizar que los terapeutas azules y el private de SOC puedan detectar y frustrar estas técnicas. También sugiere prácticas de listas blancas con esto en mente.

«La lista blanca de aplicaciones ayuda en gran medida a bloquear a los atacantes, siempre que esté ajustada para evitar la ejecución de varios programas inusuales en el sistema operativo que a menudo se abusa de estos ataques», dice.

Skoudis dirige equipos de seguridad a la Página del proyecto LotL en GitHub para obtener una lista de binarios, scripts y bibliotecas que a menudo se abusa de los ataques de LotL, como bash, cmdkey, shell32, rundll32 y más de 100 más.

La mayoría de los usuarios de rango y archivo no tienen necesidad de ejecutar muchos de esos programas, y las organizaciones pueden configurar sus herramientas de listas blancas de aplicaciones para evitar la ejecución de los más sospechosos, dice.

Wisniewski recomienda una combinación de estrategias de detección y monitoreo basadas en el comportamiento para tratar de mantenerse al tanto de los ataques basados ​​en LotL.

«Dado que los ataques de vivir de la tierra aprovechan las herramientas del sistema existentes que a menudo se incluyen en la lista blanca o se pasan por alto por las herramientas de seguridad que dependen de técnicas de detección estática, es esencial implementar herramientas que tengan en cuenta el comportamiento».

También es importante, dice Wisniewski, «está generando alertas para que los humanos investiguen cuando estas herramientas se usan fuera de las ventanas de mantenimiento planificadas. Al emplear seguridad proactiva con monitoreo las 24 horas, los 7 días de la semana, tanto por program automatizado como por expertos en búsqueda de amenazas, las organizaciones pueden identificar más rápida y efectivamente , investigar y mitigar comportamientos anómalos. Combinar las mejores herramientas con las mentes más brillantes para neutralizar las amenazas activas con velocidad y precisión, al tiempo que limita la recurrencia, es el mejor enfoque para defenderse de estos ataques «.

Contenido relacionado:

Joan Goodchild es una veterana periodista, editora y escritora que ha estado cubriendo la seguridad durante más de una década. Ha escrito para varias publicaciones y anteriormente se desempeñó como editora en jefe de CSO Online. Ver biografía completa

Más strategies





Enlace a la noticia unique