El término Living-Off-the-Land (LotL, por sus siglas en inglés) y en español “Vivir de la tierra”, se refiere al comportamiento de un atacante al utilizar cualquier herramienta que forma parte de los entornos digitales empresariales o es proporcionada de forma nativa por los sistemas operativos y que se utiliza normalmente con fines legítimos. Este tipo de ataques permite a los cibercriminales mezclarse con las funciones administrativas normales y con la actividad regular de la red, a través de programas y procesos legítimos.

Hasta cierto punto los atacantes que utilizan técnicas Living-Off-the-Land no tienen que preocuparse por crear herramientas personalizadas, por la compatibilidad de sus artefactos o las dependencias para ejecutarlos. Una vez que un dispositivo está infectado, los atacantes pueden tener a su disposición cientos de herramientas del sistema operativo; estas pueden estar preinstaladas o descargarse por medio de archivos firmados, por ejemplo por Microsoft.

Además, al utilizar herramientas legítimas que son parte del sistema operativo o de la infraestructura de las organizaciones, los ataques son más sigilosos y eficaces, por lo que es menos probable que se generen señales de alerta y sean detectados por las herramientas de seguridad. Un ataque Living-Off-the-Land es particularmente riesgoso para las organizaciones ya que puede pasar desapercibido durante mucho tiempo.

¿Qué otros motivos existen para que los atacantes continúen utilizando técnicas Living-Off-the-Land?

Este tipo de ataques es muy efectivo debido a que las herramientas legítimas utilizadas comúnmente están incluidas en las listas blancas de los SOC, o como excepciones en las soluciones de seguridad como los EDR. Las técnicas LotL permiten a los atacantes utilizar malware hasta etapas mucho más avanzadas de la cadena de ataque, como podrían ser los ataques de ransomware, dejando a las víctimas poco tiempo para responder.

Entre algunas de las herramientas más utilizadas con fines maliciosos y para realizar actividades como reconocimiento de red, movimientos laterales, elevación de privilegios, etc., se encuentran PowerShell, los comandos propios del sistema operativo como “net”, “arp” o nltest, así como la interfaz de administración de Windows (WMI) y las herramientas de sysinternals como PsExec. Estas herramientas suelen ser utilizadas por administradores de sistemas como parte de sus actividades, y al depender de reglas y firmas pueden tener dificultades para distinguir entre su uso legítimo o malicioso.

Por otro lado, los grupos APT también se han favorecido de las técnicas Living-Off-the-Land, ya que la evasión es una prioridad para ellos.  Por ejemplo, el grupo APT41 comúnmente utiliza los binarios schtasks.exe y la librería shell32.dll para programar tareas y ejecutar ficheros. Las tendencias muestran que los grupos de ransomware también están optando por técnicas de Living-Off-the-Land, al utilizar herramientas como VssAdmin para eliminar shadow copies en sistemas operativos Windows o MSIExec para cargar payloads en las máquinas víctima.
Debido a la reciente crisis Rusia-Ucrania se han incrementado los ataques con todo tipo de malware como los de tipo Wiper (destructivo), que tienen como objetivo corromper archivos o el borrado de datos. Los equipos de seguridad deben ser conscientes de que los cibercriminales pueden utilizar técnicas Living-Off-the-Land para pasar desapercibidos y realizar ataques de mayor impacto.

¿Qué acciones tomar?

• Supervise la ejecución de procesos dobles de herramientas legítimas dentro de su red para detectar comportamiento anómalo, debido a que los cibercriminales podrían utilizar procesos legítimos para ocultar actividad maliciosa.
• Realice un monitoreo constante de la ejecución de aplicaciones que no estén en su lista de aplicaciones aceptadas y utilice el principio de mínimo privilegio enfocado a sistemas, software o dispositivos que requieren permisos para actividades específicas.
• Asegúrese de que su plan de respuesta a incidentes cuente con flujos de trabajo de aislamientos rápidos a nivel de host y red.
• Realice constantemente actividades de caza de amenazas para identificar de manera oportuna binarios legítimos (LOLBins y LOLBAS) que puedan estar utilizándose de forma maliciosa o que tengan comportamientos anómalos.
• Utilice la autenticación multifactor (MFA) en todos sus sistemas y servicios para reducir el impacto de los compromisos de contraseñas. Los adversarios suelen buscar servicios o alternativas de acceso donde el MFA no esté activo.
• Implemente soluciones EDR de calidad en todos los EndPoint de la organización.
• Deshabilite el uso de PowerShell en los equipos donde no sea necesario, o en su defecto verifique el cumplimiento de los siguientes puntos:
– Actualizar a la última versión disponible y eliminar versiones anteriores.
– Configurar la ejecución de scripts firmados únicamente y de uso interno para las funciones de la organización
– Restringir el uso de PowerShell a administradores o usuarios con necesidades específicas
– Cambiar contraseñas de todos los equipos involucrados y usar doble factor de autenticación en cuentas de todos los usuarios de Active Directory
• Habilite el acceso controlado a las carpetas con Windows Defender.
• Si es posible, desactive Windows Script Host que es utilizado para interpretar y ejecutar JScript (archivos .JS) y VBScript (archivos .VBS y .VBE) que pueden ser potencialmente peligrosos.
• Evite que los usuarios no autorizados ejecuten Powershell a través de GPO.
• Configure el Firewall de Windows en todos los hosts para bloquear técnicas ampliamente utilizadas como el uso de PowerShell.exe u otros LOLBAS (Living Off The Land Binaries and Scripts) desde fuentes no confiables. Algunas herramientas ampliamente utilizadas por los cibercriminales son:
– powershell.exe (ATT&CK T1086)
– regsvr32.exe (ATT&CK T1117)
– mshta.exe (ATT&CK T1170)
– bitsadmin.exe (ATT&CK T1197)
– certutil.exe (ATT&CK T1105)
• Consulte proyectos como https[:]//lolbas-project[.]github[.]io/ y https[:]//gtfobins[.]github[.]io/  para conocer los binarios, scripts y bibliotecas que pueden utilizarse en ataques LotL y dar seguimiento oportuno.
• Realice capacitación constante a todo su personal operativo acerca de las técnicas de ingeniería social comúnmente utilizadas por los cibercriminales para distribuir malware.
• Manténgase al tanto acerca de las nuevas vulnerabilidades que pudieran afectar a su infraestructura y mantenga actualizado su software y hardware.

Referencias:

https://res.armor.com/resources/threat-intelligence/living-off-the-land-attacks/
https://frsecure.com/blog/living-off-the-land-attacks/
https://www.darktrace.com/en/blog/living-off-the-land-how-hackers-blend-into-your-environment/
https://www.gdatasoftware.com/blog/2022/02/37248-living-off-the-land
https://www.cybereason.com/blog/threat-hunting-from-lolbins-to-your-crown-jewels
https://securitybrief.com.au/story/five-tips-to-combat-cyberattacks-amidst-a-land-war
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ransomware-threat-landscape-what-expect-2022