¿Qué son los ataques de aprovechamiento de recursos existentes (LOTL)?

El aprovechamiento de recursos existentes (Living Off The Land o LOTL) es una técnica de ciberataque de malware sin archivos o de LOLbins en la que el ciberdelincuente utiliza herramientas nativas y legítimas dentro del sistema de la víctima para lanzar y hacer avanzar el ataque.

¿Cómo funcionan los ataques de aprovechamiento de recursos existentes (LOTL)?

A diferencia de los ataques de malware tradicionales, que aprovechan los archivos de firmas para llevar a cabo el plan de ataque, los ataques LOTL no usan archivos, lo que significa que no requieren que un ciberdelincuente instale ningún código o script dentro del sistema objetivo. En su lugar, el ciberdelincuente utiliza herramientas ya presentes en el entorno, como PowerShell, el instrumental de administración de Windows (WMI) o la herramienta de guardado de contraseñas Mimikatz, para lanzar el ataque.

El uso de herramientas nativas hace que los ataques LOTL sean mucho más difíciles de detectar, especialmente si la organización utiliza herramientas de seguridad tradicionales que buscan archivos o scripts de malware conocidos. Debido a esta brecha en el conjunto de herramientas de seguridad, el hacker a menudo puede permanecer sin ser detectado en el entorno de la víctima durante semanas, meses o incluso años.

Herramientas LOTL

Si los ciberdelincuentes LOTL no tienen que instalar código para lanzar un ataque de malware sin archivos, ¿cómo obtienen acceso al entorno para poder modificar sus herramientas nativas para que sirvan a sus propósitos? Pueden obtener acceso de varias formas, como, por ejemplo, mediante el uso de:

• Kits de exploits
• Herramientas nativas secuestradas
• Malware de registro ya presente
• Malware exclusivo de memoria
• Ransomware sin archivos
• Credenciales robadas

Kits de exploits

Los exploits son partes de código, secuencias de comandos o series de datos, mientras que los kits de exploits son conjuntos de exploits. Los adversarios los emplean para aprovecharse de las vulnerabilidades conocidas de un sistema operativo o de una aplicación instalada.

Los exploits son una forma eficaz de iniciar un ataque de malware sin archivos, como un ataque LOTL, porque se pueden introducir directamente en la memoria sin tener que escribir nada en el disco, y los ciberdelincuentes pueden utilizarlos para automatizar ataques iniciales a escala.

Un exploit siempre comienza del mismo modo, independientemente de si el ataque no tiene archivos o utiliza malware tradicional. Por lo general, se atrae a la víctima mediante un correo electrónico de phishing o ingeniería social. El kit de exploits normalmente incluye exploits para varias vulnerabilidades y una consola de gestión que el ciberdelincuente puede usar para controlar el sistema. En algunos casos, el kit de exploits puede ser capaz de analizar el sistema atacado en busca de vulnerabilidades para así, sobre la marcha, crear y lanzar un exploit personalizado.

Herramientas nativas secuestradas o herramientas de doble uso

En los ataques LOTL, el adversario comúnmente secuestra herramientas legítimas para escalar privilegios, acceder a diferentes sistemas y redes, robar o cifrar datos, instalar malware, establecer puntos de acceso mediante puertas traseras o avanzar de otro modo en la ruta de ataque. Algunos ejemplos de herramientas nativas o de doble uso son:

• Clientes de protocolo de transferencia de archivos (FTP) o funciones del sistema, como PsExec
• Herramientas forenses, como la herramienta de extracción de contraseñas Mimikatz
• PowerShell, un marco de ejecución de scripts que ofrece una amplia funcionalidad para la administración de dispositivos de Windows
• WMI, una interfaz para acceder a varios componentes de Windows

Malware de registro ya presente

El malware de registro ya presente es un malware que se instala por sí solo en el registro de Windows y permanece ahí eludiendo su detección.

Normalmente, un programa dropper descarga un archivo malicioso para infectar los sistemas Windows. Como dicho archivo malicioso permanece activo en el sistema atacado, es susceptible de que un software antivirus pueda detectarlo. Sin embargo, el programa dropper también puede ser utilizado por un malware sin archivos, en cuyo caso no se descarga ningún archivo malicioso. En lugar de eso, el dropper escribe código malicioso directamente en el registro de Windows.

El código malicioso puede estar programado para iniciarse cada vez que lo haga el sistema operativo y no existe un archivo malicioso que se pueda detectar: el código malicioso está oculto en archivos nativos fuera del escrutinio de un antivirus.

El ejemplo más antiguo de este tipo de ataque es Poweliks, pero han surgido muchos más desde entonces, como Kovter y GootKit. Es muy probable que el malware que modifica las claves de registro permanezca indetectable durante mucho tiempo.

Malware exclusivo de memoria

Como su nombre indica, el malware exclusivo de memoria solo se encuentra en la memoria. Un ejemplo de este tipo de malware es el gusano Duqu, que puede permanecer oculto porque solo se encuentra en la memoria. Duqu 2.0 tiene dos versiones: la primera es una puerta trasera que sirve al adversario para obtener acceso a una organización. Este luego puede usar la versión avanzada de Duqu 2.0, que ofrece funciones adicionales como el reconocimiento, el movimiento lateral y la exfiltración de datos. Duqu 2.0 se ha utilizado para provocar eficazmente brechas en empresas de telecomunicaciones y como mínimo en un proveedor de software de seguridad muy conocido.

Ransomware sin archivos

Los adversarios no se conforman con un único tipo de ataque, sino que se sirven de cualquier tipo de tecnología que pueda ayudarles a obtener su payload. Hoy en día, los ciberdelincuentes que emplean ransomware utilizan técnicas sin archivos para incrustar código malicioso en documentos mediante el uso de lenguajes de script nativos, como macros, o para escribir el código malicioso directamente en la memoria mediante el uso de un exploit. A continuación, el ransomware toma el control de algunas herramientas nativas como PowerShell para que cifren los archivos secuestrados sin necesidad de escribir nada en el disco.

Credenciales robadas

Los ciberdelincuentes pueden iniciar un ataque sin archivos mediante el uso de credenciales robadas de modo que puedan acceder a su objetivo aparentando ser usuarios legítimos. Una vez dentro, pueden utilizar herramientas nativas, como WMI o PowerShell, para llevar a cabo su ataque. Pueden establecer su persistencia ocultando código en el registro o en el kernel, o bien creando cuentas de usuario que les otorguen acceso a cualquier sistema que elijan.

¿Por qué son tan populares los ataques LOTL?

Los datos del Informe Global sobre Amenazas 2023 de CrowdStrike, el análisis anual de CrowdStrike del panorama de amenazas y el universo de adversarios, revelan que 6 de cada 10 detecciones (62 %) indexadas por CrowdStrike Security Cloud en el último trimestre de 2021 estaban libres de malware. En su lugar, los adversarios estaban aprovechando credenciales legítimas y herramientas integradas (un sello distintivo de los ataques LOTL) para avanzar en la ruta de ataque.

Los ataques LOTL son cada vez más habituales porque tienden a ser más efectivos que los ataques de malware tradicionales. Esto se debe a que son mucho más difíciles de detectar con las herramientas de seguridad tradicionales, lo que aumenta la probabilidad de éxito y otorga al ciberdelincuente más tiempo para escalar privilegios, robar datos y configurar una puerta trasera para accesos futuros.

Otros motivos por los que los ataques LOTL resultan atractivos para los ciberdelincuentes son los siguientes:

• Muchos vehículos habituales de ataques LOTL, como WMI y PowerShell, están en la lista de "permitidos" de la red de la víctima, lo que supone una cobertura perfecta para el adversario mientras lleva a cabo actividades maliciosas, que el centro de operaciones de seguridad (SOC) de la víctima y otras medidas de seguridad a menudo ignoran.
• Los ataques LOTL no utilizan archivos ni firmas, lo que significa que no se pueden comparar ni conectar, lo que dificulta prevenirlos en el futuro y permite al delincuente reutilizar tácticas a voluntad.
• El uso de herramientas legítimas y la falta de firma dificultan la atribución de los ataques LOTL, lo que alimenta el ciclo de ataque.
• Los tiempos de permanencia prolongados e ininterrumpidos permiten al adversario preparar y llevar a cabo ataques complejos y sofisticados. Cuando la víctima se da cuenta del problema, a menudo queda poco tiempo para responder eficazmente.

Prevención y detección de ataques LOTL

Los ataques LOTL y de ransomware sin archivos son extremadamente difíciles de detectar empleando métodos basados en firmas, antivirus tradicionales, listas blancas, entornos aislados o incluso análisis basado en aprendizaje automático. ¿Cómo pueden entonces las organizaciones protegerse de este tipo de ataque tan común y potencialmente devastador?

A continuación, ofrecemos una breve lista de medidas de seguridad que, cuando se toman en conjunto como un enfoque integrado, pueden ayudar a prevenir y detectar los ataques LOTL, el malware sin archivos, el ransomware desconocido y otros métodos de ataque similares:

Indicadores de ataque (IOA)

Una de las formas más efectivas de reducir el riesgo de ataques LOTL es confiar en los indicadores de ataque (IOA) en lugar de solo en los indicadores de compromiso (IOC).

Los indicadores de ataque son una capacidad de detección más proactiva que busca señales de que un ataque puede estar en curso. Los IOA incluyen señales como la ejecución de código, el movimiento lateral y las acciones que parecen querer ocultar la verdadera intención del intruso.

Los IOA son eficaces para detectar ataques sin archivos porque no se centran en cómo se inician o ejecutan los pasos. El hecho de que la acción se iniciara desde un archivo del disco duro o con una técnica sin archivos es secundaria. Lo único que importa es el ataque en sí, cómo se relaciona con otras acciones, su posición en una secuencia y las acciones dependientes. Estos indicadores revelan las verdaderas intenciones y objetivos tras los comportamientos y los eventos en torno a ellos.

Como los ataques sin archivos aprovechan lenguajes de script legítimos, como PowerShell, y nunca se escriben en el disco, pasan desapercibidos ante métodos basados en firmas, listas blancas y entornos aislados. Incluso los métodos de aprendizaje automático no logran analizar el malware sin archivos. Sin embargo, los IOA buscan secuencias de eventos que incluso el malware sin archivos necesita ejecutar para lograr su misión.

Y dado que los IOA analizan la intención, el contexto y las secuencias, pueden incluso detectar y bloquear actividades maliciosas aunque provengan de una cuenta legítima, algo bastante habitual cuando un ciberdelincuente utiliza credenciales robadas o secuestra programas legítimos.

Threat Hunting gestionado

El Threat Hunting del malware sin archivos es una tarea complicada que requiere tiempo con la que se recopila y normaliza una cantidad enorme de datos. Sin embargo, es un componente necesario en una defensa que protege contra ataques sin archivos y, por estas razones, el enfoque más pragmático para la mayoría de las organizaciones es delegar su Threat Hunting en un proveedor experto.

Los servicios de Threat Hunting gestionados no descansan, buscando intrusiones de forma proactiva, monitorizando el entorno y reconociendo actividades sutiles que podrían quedar fuera del radar de las tecnologías de seguridad estándar.

El Threat Hunting es una disciplina crítica que cada vez más organizaciones utilizan para interrumpir ataques ocultos antes de que se conviertan en brechas de gran tamaño. Con el Threat Hunting gestionado, contratas a un equipo de threat hunters expertos para una tarea simple pero importante: examinar continuamente los datos de seguridad de tu empresa en busca de la menor señal de ataques más sofisticados. Los servicios de Threat Hunting gestionado están diseñados a medida para llenar este vacío crítico para organizaciones de todo tipo.

Supervisión de cuentas

Los controles de gestión y supervisión de cuentas pueden detectar y prevenir actividades no autorizadas al proporcionar visibilidad integral en los entornos de trabajo. Esto permite prevenir la pérdida de datos debido a tales actividades y violaciones de credenciales, al tiempo que permite a los propietarios de recursos controlar quién tiene acceso a los datos e indicar si el acceso se otorga de manera inapropiada.

Inventario de aplicaciones

Esto identifica de forma proactiva aplicaciones y sistemas operativos obsoletos y sin parches para que puedas administrar de manera segura todas las aplicaciones en tu entorno. Optimizar tu inventario de aplicaciones con una solución de higiene de TI resuelve problemas de seguridad y costes simultáneamente. La visibilidad habilitada a través de la higiene de TI evita la vulnerabilidad relacionada con parches y actualizaciones del sistema. También optimiza la configuración del software. Las vistas históricas y en tiempo real del uso de las aplicaciones identifican software no utilizado que se puede eliminar, lo que potencialmente le permite a tu organización ahorrar miles de dólares en licencias innecesarias.

Asset Inventory

El inventario de recursos te muestra qué máquinas se están ejecutando en tu red y te permite implementar tu arquitectura de seguridad de manera efectiva para garantizar que no haya sistemas maliciosos operando entre bastidores. Permite que las operaciones de seguridad y TI diferencien entre recursos administrados, no administrados y no administrables en tu entorno y tomen las medidas adecuadas para mejorar la seguridad general.

Recuperación de los ataques LOTL

Como los ciberdelincuentes que emplean estos ataques pueden evadir la detección durante semanas o meses, la recuperación tras estos eventos puede ser extremadamente compleja y requerir mucho tiempo. Las organizaciones que sospechen que pueden ser víctimas de un ataque de este tipo deben contratar a un socio de ciberseguridad con buena reputación para que las ayude a realizar una evaluación de compromiso (CA) a fin de determinar si ha habido una vulneración y, en caso afirmativo, en qué parte del proceso de ataque puede hallarse.

Durante la evaluación de compromiso, el equipo de seguridad revisará los eventos actuales e históricos para identificar señales de ataques pasados, como claves de registro y archivos de salida sospechosos, además de identificar amenazas activas. Muchos adversarios sofisticados pasan meses y años en las redes de sus víctimas sin ser detectados y el análisis histórico de una CA es fundamental para identificar si esto ha ocurrido.

Si la evaluación de compromiso revela que se ha producido un ataque o que aún está en curso, el equipo de seguridad trabajará con la empresa para contener el daño, recuperar y reparar los sistemas afectados, y fortalecer la red para el futuro.

A fin de evitar nuevos ataques, el socio de seguridad deberá realizar una revisión exhaustiva del entorno del cliente para asegurarse de que el adversario no haya creado ningún punto de acceso que pueda explotarse en una fecha posterior. El socio probablemente también recomendará herramientas y servicios avanzados que podrían ayudar a prevenir la posibilidad de ataques sin archivos en el futuro.

Cómo puede CrowdStrike prevenir los ataques LOTL y sin archivos en tu organización

Como hemos observado, las técnicas sin archivos son muy difíciles de detectar si solo usas métodos basados en firmas, entornos aislados, listas blancas o incluso protección basada en aprendizaje automático.

Para defenderte frente a los ataques sigilosos sin archivos, CrowdStrike combina de manera exclusiva varios métodos en una única estrategia potente e integrada que proporciona una protección sin igual de los endpoints. La plataforma CrowdStrike Falcon® proporciona protección nativa de la nube de nueva generación para los endpoints mediante un único agente ligero y ofrece un conjunto de métodos de detección y prevención complementarios:

• El inventario de la aplicación detecta cualquier aplicación que se ejecute en tu entorno e identifica cualquier vulnerabilidad potencial que deba parchearse o actualizarse para no ser objetivo de los kits de exploits.
• El bloqueo de exploits detiene la ejecución de los ataques sin archivos mediante exploits que se aprovechan de las vulnerabilidades sin parches.
• Los indicadores de ataque (IOA) identifican y bloquean la actividad maliciosa durante las primeras fases de un ataque, antes de que pueda llegar a ejecutarse e infligir daño. Esta capacidad también protege contra nuevas categorías de ransomware que no usan archivos para cifrar los sistemas de las víctimas.
• El control de scripts proporciona una visibilidad y una protección ampliadas contra ataques sin archivos basados en scripts.
• El análisis de memoria avanzado protege frente a ataques sin archivos y sin malware, como las APT, el ransomware y las herramientas de doble uso, como Cobalt Strike en la memoria.
• El Threat Hunting gestionado busca de forma proactiva y continua actividades maliciosas que se originan mediante técnicas sin archivos.