Los hackers están constantemente refinando sus técnicas para eludir la detección y cumplir con sus objetivos maliciosos. Es crucial que las organizaciones adopten estrategias avanzadas de detección y respuesta para contrarrestar estas amenazas. Una de las técnicas más sigilosas utilizadas por los ciberatacantes es "Living Off The Land" (LOTL), la cual permite a los atacantes infiltrarse en los sistemas específicos sin levantar sospechas durante largos periodos.
Los ataques LOTL se destacan por su naturaleza "sin archivos", ya que los atacantes utilizan herramientas ya presentes en el sistema de la víctima, en lugar de depender de programas maliciosos externos. Al aprovechar binarios, scripts, bibliotecas y controladores legítimos, los atacantes pueden ejecutar sus actividades maliciosas con mayor discreción.
Estos ataques representan un desafío significativo debido a la ausencia de firmas reconocibles y su capacidad para mimetizarse con las operaciones normales del sistema. Como resultado, identificar y mitigar estos ataques requiere de un enfoque sofisticado y herramientas avanzadas de detección, como Wazuh.
Los ataques "Living off the Land" (LotL) se caracterizan por el uso de herramientas y funcionalidades preexistentes en un sistema operativo para realizar acciones maliciosas. En lugar de descargar malware externo, los atacantes aprovechan programas y scripts legítimos que ya están presentes en el sistema, como PowerShell, Windows Management Instrumentation (WMI), y otros componentes nativos. Esto hace que los ataques sean mucho más difíciles de detectar, ya que no generan los patrones típicos de comportamiento malicioso.
Los atacantes se inclinan por las técnicas "Living Off The Land" (LOTL) por varias razones clave:
Comprender la motivación detrás del uso de técnicas LOTL es crucial para desarrollar estrategias efectivas de ciberdefensa contra estas amenazas cada vez más comunes.
Te podrá interesar leer: ¿Qué es Wazuh?: Open Source XDR Open Source SIEM
Los ataques "Living Off The Land" (LOTL) siguen un patrón específico para llevar a cabo sus actividades maliciosas:
Acceso Inicial: Los atacantes consiguen acceso inicial a través de métodos como ataques de fuerza bruta, explotación de vulnerabilidades o ingeniería social. Un ejemplo común es engañar a las víctimas para que visiten un sitio web comprometido, donde se aprovechan las vulnerabilidades del navegador.
Explotación de Herramientas Legítimas del Sistema: Una vez dentro, los atacantes utilizan herramientas y configuraciones legítimas del sistema de manera maliciosa. Algunas de las herramientas más utilizadas son utilidades de línea de comandos (cron, wget, curl, WMIC, net.exe, PowerShell), lenguajes de scripting (Bash, JavaScript) y herramientas administrativas (SSH, PsExec).
Ejecución de Malware Sin Archivos: Los atacantes ejecutan código malicioso directamente en la memoria del sistema sin crear nuevos archivos en el disco, lo que dificulta su detección. También pueden aprovechar vulnerabilidades del navegador para ejecutar procesos maliciosos.
Escalada de Privilegios: Los atacantes realizan actividades dentro de la red comprometida para obtener acceso remoto, moverse lateralmente, escalar privilegios y extraer datos confidenciales. A menudo abusan de herramientas administrativas legítimas o configuraciones incorrectas del sistema para obtener privilegios elevados.
Mantenimiento de la Persistencia: Para asegurar su permanencia en el sistema, los atacantes crean tareas programadas, modifican claves de registro y utilizan mecanismos legítimos de inicio automático para garantizar que puedan lanzar futuros ataques.
Comprender cómo funcionan estos ataques es fundamental para implementar defensas efectivas contra ellos.
Para detectar comportamientos anómalos y el uso indebido de herramientas del sistema en sus entornos de TI, las organizaciones necesitan capacidades robustas de monitoreo de seguridad. Puedes reforzar tu defensa y respuesta cibernética empleando soluciones como la Detección y Respuesta Extendidas (XDR) y la Gestión de Información y Eventos de Seguridad (SIEM).
Wazuh es una plataforma de seguridad gratuita y de código abierto que proporciona capacidades XDR y SIEM unificadas, adecuadas para entornos tanto locales como en la nube. Wazuh se encarga del análisis de datos de registro, monitoreo de integridad de archivos, detección de amenazas, alertas en tiempo real y respuesta automatizada a incidentes, lo que permite detectar y responder a ataques LOTL de manera efectiva.
Las estrategias de detección eficaces para identificar intentos de acceso inicial por parte de atacantes incluyen la monitorización continua para detectar la explotación de vulnerabilidades y los intentos de inicio de sesión por fuerza bruta. Estas tácticas desencadenan notificaciones instantáneas ante acciones fuera de lo común, identifican modificaciones en las cuentas de usuario y examinan las comunicaciones de red en busca de comportamientos sospechosos.
Wazuh utiliza su capacidad de recopilación de datos de registro para recopilar registros de endpoints, aplicaciones y dispositivos de red monitoreados, que luego se analizan en tiempo real. El servidor Wazuh emplea decodificadores y reglas personalizables para extraer y asignar información relevante de los registros recopilados a los campos correspondientes. Esta información se procesa y se registra como alertas en el directorio /var/ossec/logs/alerts/.
Las empresas pueden identificar y enfrentar eficazmente actividades sospechosas en su entorno de tecnología de la información mediante el uso de herramientas de seguridad como Wazuh, que ofrece capacidades avanzadas para analizar y recolectar datos de registros en tiempo real.
Wazuh identifica cuando sshd comienza a ejecutar un proceso adicional sospechoso y cuando se abre un nuevo puerto de red en un endpoint bajo monitoreo.
Te podrá interesar leer: Guía de Alertas: Gestión de Procesos Ocultos con Wazuh
Monitorear el uso no autorizado de herramientas legítimas como PowerShell, Crontab, Schtasks y SSH es esencial para identificar desviaciones en las actividades normales del sistema y responder a acciones maliciosas. Detectar tempranamente estas actividades maliciosas impide que los atacantes abusen de estas herramientas para realizar movimientos laterales u otras acciones ilegítimas.
Wazuh ofrece un conjunto de reglas preconfiguradas para detectar y alertar a los administradores sobre el abuso de utilidades nativas del sistema por parte de malware. Además, permite la creación de reglas y decodificadores personalizados para detectar actividades específicas.
Por ejemplo, puedes configurar Wazuh para monitorear utilidades de Windows comúnmente usadas, como nltest, bcedit, vssadmin, attrib y schtasks. El agente de Wazuh recopila y envía registros del canal de eventos de Windows al servidor de Wazuh para su análisis. Estos registros se filtran para identificar eventos de creación de procesos, permitiendo detectar cuándo se ejecutan utilidades nativas.
Un ataque LOTL vinculado con la técnica MITRE ATT&CK T1053.005 se caracteriza por el uso indebido de la utilidad Programador de Tareas (schtasks) para ejecutar comandos destinados a programar tareas maliciosas:
> schtasks /create /tn test-task /tr "C:\Windows\System32\calc.exe" /sc onlogon /ru System /f
> schtasks.exe /CREATE /XML C:\Windows\TEMP\redacted.xml /TN task-task /F
> schtasks.exe /CREATE /XML C:\redacted\redacted.xml /TN task-task /F
> SCHTASKS /Delete /TN * /F
Al configurar las siguientes reglas personalizadas, Wazuh puede detectar estas actividades en tiempo real y generar alertas inmediatamente.
Conoce más sobre: Identificación de Usuarios Maliciosos con Wazuh
Los atacantes a menudo modifican los parámetros de configuración del sistema para mantener la persistencia y ocultar su presencia. Para contrarrestar esta etapa de los ataques LOTL, es crucial que las organizaciones realicen análisis periódicos de los endpoints para identificar configuraciones incorrectas y que no cumplan con las mejores prácticas de seguridad.
Wazuh ayuda en esta tarea mediante su capacidad de Evaluación de Configuración de Seguridad (SCA), la cual permite identificar configuraciones erróneas y vulnerabilidades en los endpoints monitoreados. Además, su función de Monitoreo de Integridad de Archivos (FIM) permite vigilar archivos de configuración y directorios críticos, detectando cualquier cambio no autorizado.
Por ejemplo, la función SCA de Wazuh puede auditar sistemas para detectar keyloggers en terminales Linux mediante políticas SCA personalizadas. Estas políticas verifican configuraciones que podrían haber sido manipuladas para registrar actividades del teclado.
En resumen, Wazuh ofrece herramientas robustas para detectar cambios no autorizados en la configuración del sistema, permitiendo una respuesta rápida y efectiva a los ataques LOTL antes de que causen daños significativos.
Conoce más sobre: Manejo de Incidentes con Wazuh
Para mejorar la defensa contra ataques LOTL, las organizaciones deben monitorear patrones anormales de uso de recursos en sus terminales. El uso excesivo de CPU, memoria o actividad de red puede ser una señal de actividades maliciosas relacionadas con técnicas LOTL.
Wazuh facilita esta tarea mediante su capacidad de monitoreo de comandos, que rastrea y registra los comandos ejecutados en los endpoints monitoreados. Los usuarios pueden configurar Wazuh para capturar y analizar detalles sobre comandos específicos, proporcionando visibilidad sobre el uso inusual de recursos del sistema.
El agente de Wazuh ejecuta comandos periódicamente según una frecuencia establecida, enviando los resultados al servidor Wazuh para su análisis. Por ejemplo, la supervisión del uso de recursos en macOS con Wazuh puede incluir el monitoreo del uso de CPU, carga de CPU, uso de memoria y uso de disco.
Esta información permite a las organizaciones detectar y responder rápidamente a ataques LOTL en curso al identificar el uso anormal de recursos del sistema.
Realizar análisis de vulnerabilidades de manera regular es esencial para que las organizaciones identifiquen y reparen debilidades de seguridad, ya que los atacantes a menudo explotan vulnerabilidades conocidas para establecerse y evadir la detección.
Wazuh utiliza su capacidad de detección de vulnerabilidades para ofrecer una visión completa de las posibles brechas que los adversarios podrían explotar. Esto se logra al comparar las versiones de software instaladas con vulnerabilidades conocidas, obtenidas de diversas bases de datos como la Base de Datos Nacional de Vulnerabilidad (NVD), Canonical, Red Hat, Debian y Arch Linux, entre otras.
Wazuh identifica y notifica sobre paquetes vulnerables en diversos dispositivos finales.
Podría interesarte leer: Escaneo de Vulnerabilidades con Wazuh
Los ataques "Living Off The Land" (LOTL) son ciberataques sigilosos donde los actores de amenazas utilizan herramientas integradas del sistema en lugar de malware externo para cumplir sus objetivos. Las organizaciones deben adoptar un enfoque de seguridad de múltiples capas con diversas capacidades de detección para aumentar la probabilidad de identificar y responder a estos ataques.
En TecnetOne, somos especialistas en proporcionar soluciones de seguridad robustas y confiables, como nuestro SOC as a Service. Uno de los productos clave que utilizamos en nuestro SOC as a Service es Wazuh. Esta potente plataforma de seguridad de código abierto nos permite ofrecer monitoreo continuo, detección de amenazas y respuesta a incidentes, garantizando una defensa integral contra ataques sofisticados como los ataques Living Off The Land (LOTL). Con Wazuh, podemos analizar datos de registros, monitorear la integridad de archivos y detectar vulnerabilidades conocidas, asegurando así la protección de tu infraestructura de TI.