Cuando se piensa en cualquier delitogeneralmente, los criminales eligen el camino de menor resiliencia. El camino que les permite entrar y salir sin llamar la atención ni dejar pruebas. Los ciberdelincuentes no son diferentes. Una vez que localizan su objetivo, los hackers utilizan tácticas fáciles de desplegar que pueden pasar desapercibidas. Esperan entrar, filtrar datos y salir sin dejar rastro antes de que la empresa se dé cuenta de que han entrado. se haya de que han sido atacados. Las soluciones NextGen AV y EDR han evolucionado para responder mejor al malware, cada vez más ciberdelincuentes están llevando a cabo ataques LOTL (living off the land) en su lugar.
¿Qué es un ataque LOTL?
Los ordenadores cuentan con potentes herramientas integradas que son fundamentales para el funcionamiento del sistema operativo. Un ataque LOTL es aquel que utiliza estas herramientas informáticas u otro software legítimo con fines maliciosos. Los hackers manipulan estas herramientas integradas y utilizan tu ordenador en tu contra para lograr su objetivo, que suele ser robar tus datos.
¿Qué herramientas utilizan los hackers en los ataques LOTL?
87%de los ciberataques actuales utilizan PowerShell, lo que lo convierte en el vector de ataque LOTL más popular con diferencia. PowerShell es una interfaz de shell integrada en Windows que proporciona a los administradores de TI una potente herramienta para interactuar con el sistema operativo y automatizar tareas. Los piratas informáticos suelen utilizar PowerShell para ejecutar scripts en entornos objetivo que instalan puertas traseras, filtran datos e instalan ransomware. Una vez que un ciberdelincuente obtiene acceso a PowerShell en el ordenador de una víctima, puede controlarlo y acceder potencialmente a todos los ordenadores que compartan la misma red.
Aunque PowerShell sea la herramienta más utilizada con fines maliciosos, todos los sistemas operativos contiene muchas otras potentes herramientas integradas que los hackers pueden aprovechar. Windows Management Instrumentation (WMI) se utiliza a menudo para manipular instantáneas de volumen, determinar qué antivirus está instalado y desactivar el .. Rundll32 se utiliza a menudo para eludir el control de aplicaciones, hacer un uso indebido de DLL legítimas y ejecutar DLL maliciosas. Los ciberdelincuentes incluso hacen un uso indebido del Registro de Windows modificando claves específicas del Registro para robar credenciales y eludir otros controles de seguridad. Por desgracia, cuando los defensores encuentran una forma de defenderse contra un método de ataque concreto, los ciberdelincuentes descubren una nueva herramienta que pueden utilizar indebidamente para acceder a los datos, y el ciclo continúa.
Relacionados: ThreatLocker Webinar "Las aplicaciones integradas pueden ser armadas y utilizadas en su contra"
¿Por qué son tan habituales los ataques LOTL?
Las herramientas están fácilmente disponibles.
Los ataques LOTL son una opción muy utilizada por los ciberdelincuentes para llevar a cabo sus fechorías. Estas herramientas legítimas y firmadas vienen instaladas de forma predeterminada en los ordenadores, por lo que están fácilmente disponibles.Los ataques LOTL son difíciles de detectar.
Dado que los ordenadores dependen de estas herramientas nativas para sus funciones operativas normales, resulta difícil para los EDR y los antivirus de última generación distinguir entre un uso típico y esperado y un ataque que aprovecha la misma herramienta. Los ataques perpetrados mediante técnicas LOTL se consideran «sin archivos», lo que ayuda a ocultarlos de las herramientas de seguridad.Los ataques LOTL pueden permitir a los atacantes lograr la persistencia.
Dado que son difíciles de detectar, los actores maliciosos pueden utilizar estas funciones integradas para lograr la persistencia, lo que significa que el adversario puede mantener un punto de apoyo en un entorno. Conseguir la persistencia permite a los ciberdelincuentes observar y explorar el entorno objetivo a lo largo del tiempo, descubriendo todas las claves del reino sin ser detectados.Los ataques LOTL son difíciles de prevenir.
Las herramientas nativas que se utilizan indebidamente en los ataques LOTL vienen preinstaladas en todos los ordenadores con Windows y son necesarias para las funciones administrativas normales. Por este motivo, la mayoría de los entornos no pueden simplemente desactivar, desinstalar o bloquear estos vectores de ataque comunes. Los ataques sin archivos no prevenir mediante la seguridad tradicional de los puntos finales, ya que estos sistemas de detección y respuesta .
¿Cómo puede ¿Cómo puede ayudar a mitigar los riesgos asociados a los ataques LOTL?
Así pues, ya ves por qué es tan difícil defenderse de los ataques LOTL. La buena noticia es que, si es difícil no imposible, y ThreatLocker puede ayudar a mitigar el riesgo asociado a los ataques LOTL. ThreatLocker funciona de forma diferente a las herramientas tradicionales de seguridad de endpoints para ayudar a crear un entorno Zero Trust. La La lista de aplicaciones permitidas de ThreatLocker impide que se ejecuten aplicaciones, scripts o DLL no autorizados. Dado que estas herramientas integradas son necesarias para las funciones administrativas normales, crear una regla para bloquear su ejecución no funcionará en la mayoría de los entornos. Aunque no bloquearlas sin que el ordenador deje de funcionar, si un atacante consigue acceder a una de estas herramientas nativas de Windows e intenta ejecutar un script no autorizado, este será bloqueado.
Para reducir aún más el riesgo, ThreatLocker ha desarrolladotecnología Ringfencingde ThreatLocker. Ringfencing™ crea límites alrededor de permitidas para dictar con qué pueden interactuar las aplicaciones autorizadas, bloqueando las interacciones no autorizadas con otras aplicaciones, el registro, sus archivos e Internet. Bloquee aplicaciones para que no interactúen con PowerShell, WMI, Rundll32 y cualquier otra aplicación que no para evitar que un malhechor acceda a PowerShell utilizando otra aplicación, como un documento de Word malicioso para ejecutar un script de PowerShell. Supongamos que un ciberdelincuente consigue acceder a PowerShell. Con Ringfencing aplicado, PowerShell no puede llegar a Internet para obtener más instrucciones de un centro de mando y control o copiar sus archivos a una URL maliciosa.
Resumen
Los ataques LOTL proporcionan a los ciberdelincuentes un medio eficaz para robar datos valiosos sin que las herramientas de seguridad se den cuenta. Estas herramientas integradas son componentes necesarios de Windows, lo que significa que no pueden desinstalarse ni bloquearse. Aunque los ataques LOTL plantean retos a los defensores cibernéticos, sus riesgos pueden mitigarse con las herramientas adecuadas. ThreatLocker Allowlisting es compatible con un entorno Zero Trust, y todas las aplicaciones, scripts y bibliotecas no autorizadas se bloquearán de forma predeterminada, lo que protege contra scripts maliciosos. ThreatLocker Ringfencing™ le permite establecer barreras de seguridad alrededor de sus y herramientas nativas para evitar que las aplicaciones interactúen de forma no autorizada con otras aplicaciones y con las potentes herramientas nativas. El Plataforma de protección de endpoints de ThreatLocker le permite mitigar los riesgos asociados a los ataques LOTL.
Aunque no ningún producto puede prevenir o mitigar todos los riesgos en la actualidad, el ThreatLocker ThreatLocker ofrece muchas herramientas para ayudarle a mantener el control de su entorno. Reserve hoy mismo una demostración en directo del producto y compruebe por sí mismo cómo ThreatLocker protege contra los ataques LOTL y mitiga otras vulnerabilidades cibernéticas.
Esta es una entrada de blog patrocinada.
