Living Off the Land

Información clave

Las investigaciones indican que más del 50% de los ciberataques de los últimos años han implicado el uso de técnicas LotL, lo que subraya su prevalencia.
Una encuesta del Ponemon Institute reveló que el 70% de los profesionales de la seguridad afirman tener dificultades para distinguir entre actividad normal y maliciosa debido al uso de herramientas legítimas en los ataques.

¿Qué son los atentados Living Off the Land (LotL)?

El término "Living Off the Land" (LotL) hace referencia a una estrategia empleada por los atacantes en la que utilizan herramientas y características legítimas ya presentes en el entorno objetivo para llevar a cabo actividades maliciosas. Esta técnica es cada vez más importante, ya que permite a los atacantes mezclarse con las operaciones normales, lo que dificulta la detección por parte de las medidas de seguridad tradicionales.

Ejemplo del ataque del Volt Typhoon Lotl

Los ataques "Living Off the Land " (LotL) aprovechan herramientas y software legítimos presentes en el entorno del objetivo para llevar a cabo actividades maliciosas, lo que dificulta notablemente su detección por parte de los equipos de seguridad. Estas tácticas permiten a los atacantes mezclarse con la actividad normal de la red, eludiendo las medidas de seguridad tradicionales.

Herramientas y técnicas habituales de LotL

Nombre de la herramienta	Descripción	¿Por qué lo utilizaría el atacante?	Impacto en las empresas
PowerShell	Marco de automatización de tareas y gestión de la configuración de Microsoft.	Permite la ejecución de comandos y scripts de forma sigilosa, lo que dificulta su detección por parte de las herramientas de seguridad tradicionales.	Puede provocar filtraciones de datos, accesos no autorizados y amenazas persistentes en la red.
Instrumentación de gestión de Windows (WMI)	Se utiliza para la gestión del sistema y puede ejecutar scripts y recopilar información del sistema.	Permite la ejecución remota y la recopilación de información sin necesidad de herramientas o cargas útiles adicionales.	Puede provocar la filtración de datos, la interrupción de las operaciones y comprometer la integridad del sistema.
PsExec	Herramienta ligera de sustitución de telnet que permite la ejecución de procesos en sistemas remotos.	Facilita la propagación de malware o ransomware por la red de forma rápida y eficaz.	Puede causar una infección generalizada, paradas operativas y pérdidas económicas significativas.
Macros de oficina	Scripts incrustados en documentos de Office que pueden descargar y ejecutar cargas maliciosas.	Explota herramientas empresariales comunes, aprovechando la ingeniería social para engañar a los usuarios para que habiliten macros.	Conduce a accesos no autorizados, robo de datos y posibles daños financieros y de reputación.

Cómo puede ayudar Vectra AI

La plataforma de Vectra AI mejora su defensa contra los ataques Living Off the Land aprovechando el análisis de comportamiento impulsado por IA para identificar y responder a actividades inusuales que involucran herramientas legítimas. Nuestra solución proporciona una visibilidad y un contexto profundos, lo que permite a los equipos SOC detectar y mitigar rápidamente los ataques LotL. Para ver nuestra plataforma en acción, le animamos a que vea una demostración autoguiada de nuestra plataforma.

Más fundamentos de ciberseguridad

Preguntas frecuentes

¿Qué son los ataques de Living Off the Land " (LotL)?

Los ataques LotL se refieren a la técnica en la que los atacantes utilizan software existente, herramientas legítimas del sistema y procesos nativos de la red para llevar a cabo actividades maliciosas, minimizando así las posibilidades de detección.

¿Por qué es difícil detectar los ataques LotL?

Estos ataques son difíciles de detectar porque aprovechan herramientas y procesos que son inherentemente fiables y de uso común dentro de una organización, enmascarando las actividades del atacante como operaciones normales.

¿Qué herramientas se suelen utilizar en los ataques LotL?

Entre las herramientas más utilizadas se encuentran PowerShell, Windows Management Instrumentation (WMI) y herramientas administrativas legítimas como PsExec y Netsh.

¿Cómo pueden los equipos de seguridad identificar los ataques LotL?

Los equipos de seguridad pueden identificar los ataques LotL mediante la supervisión de patrones de comportamiento inusuales asociados a herramientas legítimas, como tiempos de ejecución atípicos, conexiones de red inesperadas o intentos de acceso no autorizados.

¿Cuáles son las estrategias eficaces para mitigar los ataques LotL?

La mitigación de los ataques LotL pasa por implantar el acceso con mínimos privilegios, mejorar la supervisión del uso de herramientas nativas, emplear análisis de comportamiento para detectar anomalías y formar continuamente al personal en materia de seguridad.

¿Qué importancia tienen la detección y la respuesta a las amenazas para contrarrestar los ataques LotL?

Las soluciones de detección y respuesta a amenazas desempeñan un papel crucial al proporcionar una visibilidad detallada de las actividades de los atacantes, incluida la ejecución de herramientas legítimas, facilitando así la detección temprana de comportamientos sospechosos indicativos de un ataque LotL.

¿Puede la caza de amenazas ayudar a identificar los ataques LotL?

Sí, la caza proactiva de amenazas es una estrategia eficaz para identificar ataques LotL, centrándose en la búsqueda de indicadores de compromiso y actividades anómalas relacionadas con el uso indebido de herramientas legítimas.

¿Qué papel desempeña la segmentación de la red en la protección contra los ataques LotL?

La segmentación de la red puede limitar el movimiento lateral de los atacantes al restringir el acceso a los recursos y segmentos críticos, lo que dificulta a los atacantes la explotación eficaz de las tácticas LotL.

¿Cómo pueden las organizaciones mejorar su defensa contra los ataques LotL?

Mejorar la defensa contra los ataques LotL requiere una combinación de controles técnicos, como listas blancas de aplicaciones y análisis del comportamiento de los usuarios, junto con formación continua en seguridad para concienciar sobre estas amenazas.

¿Hay ejemplos notables de ataques de LotL?

Ejemplos notables incluyen el uso de PowerShell en varias campañas de ransomware y la explotación de WMI para el movimiento lateral y la persistencia en ataques dirigidos.