¿Un atacante vive de su tierra?


Los ataques que viven fuera de la tierra plantean riesgos importantes para las organizaciones y, además, son difíciles de detectar. Aprenda los conceptos básicos sobre cómo funcionan estos ataques y las formas de limitar su daño.

(Imagen: Riverwalker a través de Adobe Stock)

(Imagen: Riverwalker a través de Adobe Inventory)

El malware, y todas sus diversas formas, incluido el ransomware, se ha vuelto cada vez más sigiloso y sofisticado en los últimos años. También en aumento: su capacidad para volar por debajo del radar del software de ciberseguridad.

Una de las principales razones por las que detectar y erradicar el malware es tan difícil es el surgimiento de un método de ataque llamado dwelling off the land (LotL). A pesar de evocar imágenes idílicas de agricultura urbana o sostenibilidad, el término se refiere a un grupo de técnicas que normalmente se ejecutan en código shell o scripts que se ejecutan en la memoria.

Los atacantes que «viven de la tierra» utilizan las herramientas y utilidades del propio sistema para realizar actividades maliciosas. Con estos ataques, que no utilizan archivos maliciosos fácilmente detectables, un atacante puede acechar dentro de una computadora o pink y evitar que las herramientas de seguridad lo descubran.

Incluso si se descubre un ataque, los binarios utilizados son excepcionalmente difíciles de erradicar. Como resultado, un ataque de LotL es particularmente riesgoso para las víctimas.

Viviendo de la tierra: una breve historia
El concepto de usar malware sin archivos, o malware que depende de programas legítimos para atacar, apareció por primera vez a principios del siglo real. Los primeros ejemplos de este enfoque incluyen malware con nombres como Frodo, Code Red y SQL Slammer Worm. Sin embargo, estas cargas útiles eran más una molestia que una amenaza genuine. Luego, en 2012, un troyano bancario llamado Acechar apareció. Aunque no era terriblemente sofisticado, demostró el potencial de LotL.

En 2013, los investigadores de seguridad Christopher Campbell y Matt Greaber acuñó el término LotL para describir el malware que se esconde dentro de un sistema y explota herramientas y utilidades legítimas para causar daños. En los últimos años, el alcance y la sofisticación de estos ataques ha aumentado. De hecho, a medida que las empresas de seguridad han mejorado en la identificación y la inclusión de archivos maliciosos en listas negras, los ataques sin archivos se han generalizado.

¿Cómo funciona vivir de la tierra?
En un ataque de LotL, los adversarios se aprovechan de herramientas y utilidades legítimas dentro de un sistema. Esto puede incluir scripts de PowerShell, scripts de Visible Simple, WMI, PSExec y Mimikatz. El ataque explota la funcionalidad del sistema y lo secuestra con propósitos nefastos. Puede incluir tácticas como el secuestro de DLL, la ocultación de cargas útiles, el volcado de procesos, la descarga de archivos, eludir el registro de teclas de UAC, la compilación de código, la evasión de registros, la ejecución de código y la persistencia.

Los ciberdelincuentes utilizan diferentes métodos y desencadenan diferentes tipos de malware que entran en la categoría general de LotL. En muchos casos, utilizan herramientas como Poshspy, Powruner, y Astaroth que aprovechan LOLBins y técnicas sin archivos para evadir la detección. La mayoría de los ataques involucran binarios de Home windows que enmascaran actividades maliciosas sin embargo, los ataques de LotL también pueden afectar a macOS, Linux, Android y los servicios en la nube.

La razón por la que este enfoque funciona tan bien es porque recursos como PowerShell y Home windows Scripting Host (WScript.exe) ofrecen capacidades que superan con creces las necesidades de la mayoría de las organizaciones, y muchas de estas funciones no se desactivan o eliminan cuando no lo están. requerido por una organización. Standard, más de 100 herramientas binarias de Windows representan un riesgo grave, según GitHub.

¿Qué aspecto tienen los ataques de LotL?
Una vez que los atacantes han invadido herramientas legítimas, como PowerShell, pueden aprovechar otros procesos y códigos legítimos, incluidos lenguajes de scripting integrados como Perl, Python y C ++.

Por ejemplo, un atacante puede crear un script que incluya una lista de máquinas objetivo y, junto con un PSExec cuenta con privilegios ejecutivos, copie y ejecute malware en máquinas del mismo nivel. Otro posible método de ataque es aprovechar un script de inicio y cierre de sesión a través de un objeto de política de grupo (GPO) o abusar del Interfaz de administración de Home windows (WMI) para distribuir masivamente ransomware dentro de la pink.

Un enfoque related utiliza malware para inyectar código malicioso en un proceso de ejecución confiable como SVCHOST.EXE o usa Home windows RUNDLL32.EXE solicitud. Esto hace posible cifrar documentos de un proceso confiable, informes de la empresa de ciberseguridad Sophos. Esta táctica puede evadir algunos programas anti-ransomware que no monitorean o están configurados para ignorar la actividad de cifrado por aplicaciones de Home windows predeterminadas.

El ransomware también puede ejecutarse desde un flujo de datos alternativo (Adverts) de NTFS para ocultarse tanto de los usuarios víctimas como del software de protección de endpoints, empresa de ciberseguridad Señala Malwarebytes Labs. A menudo, todo el ataque tiene lugar en unas pocas horas o durante la noche, cuando el particular presta menos atención a los sistemas de TI. Una vez que el malware ha cifrado los archivos, el destinatario termina con una pantalla bloqueada y una nota de rescate.

Estos ataques a menudo parecen surgir de la nada porque el cifrado de archivos authentic se realiza dentro de un componente Powershell.exe confiable. Como resultado, es posible que el program de protección de endpoints no detecte el proceso porque parece ser legítimo, según Sophos.

Uno de los ataques de LotL más publicitados ocurrió en 2017, cuando los llamados Petya apareció malware. Inicialmente infectó un programa de contabilidad de software package en Ucrania y luego se extendió entre las empresas. Más recientemente, el Ataque SolarWinds, también conocido como SUNBURST, utilizó LotL y otros métodos para plantar malware en uno de los parches de program de la empresa de seguridad.

Reducir el riesgo es essential
No existe una forma sencilla de evitar el riesgo de un ataque LotL. También es difícil determinar quién está iniciando el ataque debido a la naturaleza sigilosa del malware.

En normal, la mejor defensa es asegurarse de que los componentes innecesarios se apaguen o se eliminen de los sistemas. Otras estrategias incluyen la creación de listas blancas de aplicaciones cuando sea posible, aprovechar el program de análisis de comportamiento, parchear y actualizar componentes regularmente, usar autenticación multifactor y continuar educando a los usuarios sobre los riesgos asociados con hacer clic en enlaces de correo electrónico y abrir archivos adjuntos.

Samuel Greengard escribe sobre negocios, tecnología y ciberseguridad para numerosas revistas y sitios net. Es autor de los libros «Net de las cosas» y «Realidad virtual» (MIT Push). Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic