Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Anatomía del ataque

Anatomía de un ataque de "Vivir de la tierra" (LotL)

En esta simulación de Volt Typhoon , los defensores fueron puestos a prueba cuando el actor de la amenaza utilizó todo lo que estaba a su alcance -técnicas de mando y control, técnicas de pulverización de contraseñas e intentos de fuerza bruta- para eludir la detección y vivir de la tierra a través de múltiples superficies de ataque híbridas. Armados con la señal de amenaza de mayor eficacia, los analistas de seguridad sabían exactamente dónde centrar los esfuerzos.

Anatomía de un ataque de "Vivir de la tierra" (LotL)
Anatomía de un ataque de "Vivir de la tierra" (LotL)
Seleccione el idioma que desea descargar
Descargar
Informe de acceso
Gracias por descargarlo.
Acceda a su oferta gratuita a continuación.
Descargar
Descargar
Descargar en francés
Descargar en alemán
Descargar en español
Descargar en japonés
Descargar en italiano

¿Qué es un ataque LOTL?

Los ataques Living off the Land (LOTL ) son una estrategia de ciberataque sigilosa en la que los atacantes aprovechan herramientas y procesos legítimos ya presentes en su entorno para llevar a cabo actividades maliciosas. En lugar de recurrir al malware tradicional o a archivos sospechosos, los atacantes utilizan binarios nativos, scripts o herramientas administrativas de confianza -que forman parte de su sistema operativo o entorno de software-, lo que dificulta la detección del ataque.

¿Quién utiliza los ataques LOTL?

Los ataques LOTL suelen ser utilizados por grupos de ransomware, como Black Bastapor una razón: Son difíciles de detectar. Dado que los atacantes utilizan herramientas ya existentes, las acciones no son detectadas por el sistema de detección y respuesta de puntos finales (EDR) ni por otras herramientas de prevención. No hay código malicioso ni malware, por lo que es fácil para el atacante pasar desapercibido, y difícil para usted detectar patrones inusuales. El uso de herramientas cotidianas hace que los ataques LotL a menudo parezcan actividades normales de los usuarios.

¿Cómo funcionan los ataques LOTL?

Los ataques LOTL prosperan ocultándose y pueden moverse por el centro de datos, la cloud y las superficies de identidad durante largos periodos de tiempo. Un ataque LOTL típico tiene este aspecto:

  1. Obtener acceso: Los atacantes obtienen acceso inicial mediante phishingexplotando vulnerabilidades u otros medios.
  1. Utilizar herramientas integradas: Una vez dentro, el atacante utiliza herramientas legítimas del sistema como PowerShell, Windows Management Instrumentation (WMI) o comandos de shell de Unix/Linux. Estas herramientas son de confianza y no suelen estar marcadas por las medidas de seguridad.
  1. Ejecutar comandos maliciosos: El atacante utiliza los sistemas objetivo para ejecutar comandos maliciosos. Por ejemplo, PowerShell puede utilizarse para descargar y ejecutar scripts maliciosos directamente desde la memoria, eludiendo los mecanismos de detección basados en disco.
  1. Desplazarse lateralmente: Sin ser detectado, el atacante utiliza técnicas LOTL para moverse lateralmente dentro de su red, acceder a datos sensibles y exfiltrarlos o preparar el entorno para ataques destructivos como el ransomware.

Algunos ejemplos de herramientas LotL comunes son:

  • PowerShell: Este potente lenguaje de scripting y shell framework de Windows puede ser explotado para ejecutar scripts para diversas fases de ataque.
  • Instrumentación de gestión de Windows (WMI): A menudo utilizada para la gestión remota, esta infraestructura puede ser aprovechada para el movimiento lateral o la ejecución de comandos de forma remota.
  • PsExec: Esta herramienta legítima de línea de comandos, utilizada para ejecutar procesos en otros sistemas, es a menudo aprovechada por los atacantes LOTL para el movimiento lateral.
  • MSHTA: Una herramienta de Windows que ejecuta archivos de aplicaciones HTML (HTA), puede ser abusada para ejecutar scripts maliciosos.
  • CertUtil: Herramienta de línea de comandos de Windows para gestionar certificados, que puede ser utilizada indebidamente para descargar archivos.

Cómo contrarrestar los ataques LOTL

Los ataques LOTL no serán detectados por las herramientas de prevención tradicionales: su equipo de seguridad necesita una estrategia avanzada de caza de amenazas para descubrir ataques sigilosos que se mezclan con el ruido de las actividades cotidianas.

Vectra AI utiliza análisis de comportamiento para separar las alertas cotidianas de los eventos de seguridad reales y para identificar comportamientos fáciles de pasar por alto que son característicos de los ataques LotL. Las detecciones avanzadas basadas en IA se centran en tácticas LOTL comunes, como:

Por ejemplo, en un ataque simulado iniciado a través de una oficina doméstica comprometida:

  • El atacante intentó recopilar información de la unidad local y de las credenciales para pasar desapercibido. 
  • Moviéndose por múltiples superficies, el atacante reunía información adicional para avanzar y ocultar sus huellas.
  • Incluso con estas técnicas sigilosas, Vectra AI detectó, analizó, clasificó, correlacionó y validó la actividad de ataque, antes de que el atacante pudiera ejecutarlo.

Vea cómo Vectra AI detuvo un ataque LOTL

¿Cómo se puede alcanzar a un actor de amenazas altamente cualificado que utiliza técnicas LOTL sigilosas? Hemos simulado un ataque Volt Typhoon para averiguarlo. Descargue la anatomía del ataque para ver cómo los defensores pueden detener un ataque LOTL patrocinado por el Estado que otras tecnologías pasaron por alto.

Volt Typhoon ejemplo de un ataque para vivir de la tierra.

Con la confianza de expertos y empresas de todo el mundo

Preguntas frecuentes