¿Cómo mantenerse protegido de los ataques de Living off the Land?

Los ataques de Living off the Land han cobrado fuerza en los últimos tiempos, por lo que podemos extrapolar con seguridad que los piratas informáticos ahora están volviendo a emplear estrategias y técnicas antiguas. Los conceptos asociados con Living off the Land no son nuevos. Las herramientas del sistema alguna vez se usaron comúnmente como puertas traseras y se aprovecharon las vulnerabilidades conocidas en los sistemas.

Los ataques de Living off the Land (LotL) son increíblemente difíciles de defender, ya que a veces incluyen ataques sin archivos como un subconjunto. Otras veces, los piratas informáticos explotan las herramientas de memoria y de doble uso, que es una combinación mortal. En esta guía, tenemos la intención de contarle todo lo que necesita saber sobre los ataques de Living off the Land y cómo puede protegerse a sí mismo o a su organización de ellos.

¿Qué son los ataques de Living off the Land?

Los ataques Living off the Land son ataques en los que los atacantes usan herramientas ya instaladas o existentes en las computadoras de las víctimas para mejorar sus medios (robar información o dinero, tomar el control de los sistemas, etc.). Dichos ataques son únicos en el sentido de que los piratas informáticos involucrados no utilizan programas maliciosos, que los programas de aplicación de seguridad están programados para buscar. Dado que los atacantes usan herramientas regulares o incluso scripts simples, la detección de amenazas se vuelve muy difícil.

En ataques sin archivos, por ejemplo, los ciberdelincuentes pueden operar en memoria volátil, en partes correspondientes a PowerShell y WMI. En tales escenarios, las aplicaciones antivirus y antimalware no detectan ni encuentran las amenazas, porque incluso sus entradas no se almacenan en los registros. Después de todo, se crean muy pocos archivos (o ninguno) durante el ataque.

Los atacantes tienen suficientes razones para ir sin archivos. Probablemente se dieron cuenta de que cuanto menor sea la cantidad de archivos que se creen, menores serán las posibilidades de que las utilidades de seguridad detecten las amenazas. Y en su mayor parte, los atacantes tienen razón. Las aplicaciones de seguridad a menudo tienen dificultades para detectar los ataques de Living off the Land hasta que es demasiado tarde porque, en primer lugar, no saben a qué prestar atención.

Los ataques de LotL no involucran malware, pero los atacantes (si tienen éxito con ellos) obtienen suficiente tiempo para permanecer en las computadoras comprometidas en áreas donde no pueden ser detectados. Y con el tiempo, los atacantes finalmente obtienen oportunidades para infiltrarse en componentes confidenciales y destruir datos u operaciones (si así lo desean).

Tal vez haya oído hablar de los ataques Petya/NotPetya, que sacudieron al mundo en algún momento de 2017. Las víctimas de esos ataques (individuos y organizaciones) nunca los vieron venir porque los atacantes ingresaron a sus sistemas a través de programas confiables, lo que no despertó sospechas. y luego inyectó esas aplicaciones con código malicioso. Los sistemas de protección tradicionales fallaron; sus defensas no fueron provocadas por el uso inusual de software aparentemente confiable.

Con las técnicas de Living off the Land, los ciberdelincuentes pueden acceder a los sistemas informáticos sin complicaciones y pasar mucho tiempo en ellos sin activar ninguna alarma ni despertar sospechas. Por lo tanto, dadas las circunstancias que definen este tipo de ataques, a los expertos en seguridad les resulta difícil identificar el origen del ataque. Muchos delincuentes consideran que las tácticas de Living off the Land son el método ideal para ejecutar ataques.

Cómo mantenerse a salvo de los ataques de Living off the Land (consejos para usuarios habituales o particulares)

Al tomar las precauciones necesarias y ser proactivo, puede reducir las posibilidades de que sus computadoras o redes estén expuestas a los ciberdelincuentes a través de tácticas LotL.

1. Supervise o verifique siempre el uso de utilidades de doble uso dentro de sus redes.

2. Use la lista blanca de aplicaciones donde esté disponible o corresponda.

3. Cuando reciba correos electrónicos inesperados o sospechosos, debe tener cuidado. Siempre es mejor no hacer clic en nada (enlaces o archivos adjuntos) en dichos mensajes.

4. Descarga e instala siempre actualizaciones para todas tus aplicaciones (programas) y sistemas operativos (Windows, por ejemplo).

5. Tenga cuidado al usar archivos adjuntos de Microsoft Office que requieren que habilite macros. En primer lugar, es mejor que no utilice dichos archivos adjuntos, si puede permitirse el lujo de no utilizarlos.

6. Configure funciones de seguridad avanzadas cuando sea posible. Por características de seguridad avanzadas, nos referimos a la autenticación de dos factores (2FA), notificaciones o avisos de inicio de sesión, etc.

7. Utilice contraseñas únicas y seguras para todas sus cuentas y perfiles (en todas las redes o plataformas). Obtenga un administrador de contraseñas, si necesita uno que lo ayude a recordar todas las contraseñas.

8. Recuerde siempre cerrar su perfil o cuenta fuera de las redes cuando haya terminado con su sesión.

Cómo evitar los ataques de Living off the Land (consejos para organizaciones y empresas)

Dado que las tácticas de Living off the Land constituyen algunas de las técnicas de piratería más sofisticadas, representan un gran desafío para que las organizaciones las identifiquen y eviten. Sin embargo, todavía hay formas en que las empresas pueden reducir los riesgos de tales ataques (o mitigar los efectos de tales ataques, si alguna vez ocurren).

1. Mantenga una buena higiene cibernética:

Este consejo puede parecer simple o básico cuando se toma al pie de la letra, pero es probablemente el más importante de todos. La mayoría de los ataques cibernéticos en la historia, incluidos aquellos en los que se emplearon tácticas de LotL, tuvieron éxito debido a la negligencia o la falta de prácticas de seguridad. Muchas empresas no se molestan en actualizar o parchear las herramientas o programas que utilizan. El software generalmente necesita parches y actualizaciones para sellar vulnerabilidades y agujeros de seguridad.

Cuando los parches o actualizaciones no están instalados, la puerta queda abierta para que los actores de amenazas encuentren vulnerabilidades y las aprovechen. Las organizaciones tienen el deber de asegurarse de mantener un inventario de las aplicaciones. De esta manera, pueden identificar programas e incluso sistemas operativos desactualizados y sin parches; también saben cuándo tienen que realizar las tareas de actualización esenciales y cómo cumplir con el cronograma.

Además, el personal debe estar capacitado en materia de seguridad. Va más allá de simplemente enseñar a una persona a no abrir correos electrónicos de phishing. Idealmente, los trabajadores deberían aprender cómo funcionan las instalaciones y el código integrados de Windows. De esta manera, pueden detectar anomalías o inconsistencias en el comportamiento, actividad maliciosa y aplicaciones o scripts sospechosos que se ejecutan en segundo plano e intentan evadir la detección. El personal con un buen conocimiento de las actividades en segundo plano de Windows suele estar un paso por delante de los ciberdelincuentes habituales.

2. Configure los derechos y permisos de acceso adecuados:

Por ejemplo, un empleado que hace clic en un enlace malicioso en un correo electrónico no necesariamente debe provocar que el programa malicioso llegue al sistema del empleado. Los sistemas deben diseñarse de tal manera que, en el escenario descrito, el programa malicioso viaje a través de la red y aterrice en algún otro sistema. En ese caso, podemos decir que la red se segmentó lo suficientemente bien como para garantizar que las aplicaciones de terceros y los usuarios habituales tengan protocolos de acceso estrictos.

La importancia de la punta merece tantos puntos destacados como sea posible. El uso de protocolos sólidos con respecto a los derechos de acceso y los privilegios proporcionados a los trabajadores puede ser de gran ayuda para evitar que sus sistemas se vean comprometidos; puede ser la diferencia entre un ataque LotL exitoso y uno que no va a ninguna parte.

3. Emplee una estrategia de caza de amenazas dedicada:

Cuando logra que los cazadores de amenazas trabajen juntos para encontrar diferentes formas de amenazas, las posibilidades de detección de amenazas aumentan significativamente. Las mejores prácticas de seguridad requieren que las empresas (especialmente las grandes organizaciones) empleen cazadores de amenazas dedicados y los hagan revisar diferentes segmentos de su infraestructura de TI para verificar incluso las señales más débiles de los ataques más letales o sofisticados.

Si su empresa es relativamente pequeña o si no puede permitirse el lujo de tener un equipo interno de búsqueda de amenazas, entonces hará bien en subcontratar sus necesidades a una empresa de búsqueda de amenazas o un servicio de administración de seguridad similar. Es probable que encuentre otras organizaciones o equipos de trabajadores independientes que estén interesados ​​en llenar ese vacío crítico. De cualquier manera, mientras se lleven a cabo las operaciones de caza de amenazas, todo está bien.

4. Configure la detección y respuesta de puntos finales (EDR):

La falla silenciosa es un término importante cuando se trata de evitar ataques cibernéticos. La falla silenciosa se refiere a un escenario o configuración en la que el sistema de defensa o seguridad dedicado no puede identificar y defenderse contra un ataque cibernético y no se activa ninguna alarma después de que ocurre el ataque.

Considere este paralelismo con el evento proyectado: si el malware sin archivos de alguna manera logra pasar sus capas de protección y obtener acceso a su red, puede permanecer en su sistema durante mucho tiempo, tratando de analizar la totalidad de su sistema en preparación para un mayor ataque.

Con este fin, para superar el problema a la vista, debe configurar un sistema sólido de detección y respuesta de punto final (EDR). Con un buen sistema EDR, podrá descubrir y aislar elementos sospechosos existentes en los puntos finales e incluso eliminarlos o deshacerse de ellos.

5. Evalúe eventos y escenarios cuando lo pirateen (si lo piratean):

Si sus máquinas son pirateadas o si su red se ve comprometida, hará bien en examinar los eventos en la acumulación del ataque. Le recomendamos que eche un vistazo a los archivos y programas que jugaron un papel importante en ayudar a los atacantes a tener éxito.

Puede emplear analistas de seguridad cibernética y pedirles que se centren en las herramientas y los sistemas que pueden usar para medir los ataques históricos. La mayoría de los escenarios en los que las empresas son víctimas de ataques se caracterizan por claves de registro sospechosas y archivos de salida inusuales y también por la identificación de amenazas activas o aún existentes.

Después de descubrir algunos de los archivos afectados u otras pistas, hará bien en analizarlos a fondo. Idealmente, debería tratar de averiguar dónde salieron mal las cosas, qué se debería haber hecho mejor, etc. De esta manera, aprenderá más y obtendrá información valiosa, lo que significa que podrá llenar los vacíos en su estrategia de seguridad para evitar futuros ataques de LotL.

RECOMENDADO

Proteja la PC de amenazas con Anti-Malware

Verifique su PC en busca de malware que su antivirus pueda pasar por alto y elimine las amenazas de manera segura con Auslogics Anti-Malware

Auslogics Anti-Malware es un producto de Auslogics, desarrollador de aplicaciones Microsoft Silver certificado

DESCARGAR AHORA

PROPINA

La seguridad es el tema principal de esta guía, por lo que no tendremos una mejor oportunidad para informarle sobre una excelente propuesta. Si está buscando reforzar la seguridad en sus computadoras o redes, es posible que desee obtener Auslogics Anti-Malware. Con esta utilidad de protección de primer nivel, puede mejorar su configuración de seguridad actual, que puede no ser lo suficientemente dinámica para hacer frente a múltiples amenazas.

En la lucha contra los programas maliciosos, las mejoras siempre son bienvenidas. Nunca puede saber cuándo algo supera su aplicación de seguridad actual, o tal vez, ni siquiera usa una. Tampoco puede decir con certeza que su computadora no está actualmente comprometida o infectada. En cualquier caso, hará bien en descargar y ejecutar la aplicación recomendada para tener una mejor oportunidad (que antes) de mantenerse a salvo.