Living-off-the-Land – Cómo los atacantes se mimetizan con el tráfico
“Living off the land” (en español, “vivir de la tierra”) es una estrategia utilizada para conseguir discretamente un objetivo dudoso. Pensemos en una pareja de gorrones que se cuela en una boda. Vestidos de forma impecable, se mimetizan perfectamente con los invitados auténticos, disfrutando de la comida y evitando el contacto directo con los recién casados, que podrían identificarlos como asistentes no autorizados. Del mismo modo, un excursionista en la naturaleza es más difícil de rastrear cuando utiliza su entorno como sustento, en comparación con uno que depende de las provisiones que lleva consigo y de una tienda de campaña.
Vivir de la tierra también es una táctica militar habitual. En el pasado, los ejércitos la utilizaban para moverse con rapidez y sin ser detectados con el fin de sorprender al enemigo acampado a cierta distancia. Hoy en día, las fuerzas terroristas y algunas unidades militares se visten de civil para mezclarse con los ciudadanos locales, dificultando así que las fuerzas enemigas distingan entre combatientes y no combatientes.
También se utiliza en los ciberataques. Al igual que las personas que se cuelan en las bodas, estos atacantes se camuflan en su entorno de red. Utilizan las mismas herramientas que se encuentran en sus propios sistemas y que su personal informático utiliza a diario. Se mueven siguiendo patrones de tráfico comunes y se aseguran de mantenerse alejados de posibles honeypots y herramientas de seguridad que podrían identificar su potencial de riesgo.
Sin tarjetas de visita ni rastros
Los ladrones arrogantes sólo dejan su tarjeta de visita a las autoridades en las películas. En el mundo real, los delincuentes quieren trabajar en el anonimato. Las herramientas antivirus y antimalware tradicionales se basaban en firmas para detectar el código malicioso. Estas firmas son una especie de tarjeta de visita que identifica la amenaza. Para burlar estas herramientas de seguridad, los atacantes están utilizando ataques de malware sin archivos que funcionan completamente dentro de la memoria de los procesos de un sistema infectado. Por desgracia, los controles de seguridad tradicionales que se basan en métricas preestablecidas y alertas sistemáticas tienen una capacidad limitada para identificar y asignar prioridades a los ataques.
Sin los rastros de los archivos guardados en un disco duro, los ataques sin archivos pueden eludir la detección con mucha más facilidad. Hoy en día, existen incluso variantes de ransomware sin archivos. Estos ataques sin archivos son una de las razones por las que el tiempo de permanencia de las amenazas aumentó un 36% entre 2020 y 2021. Cuanto más tiempo puedan actuar los atacantes dentro de su red sin interrupción, más tiempo tendrán para aprender sobre su red y sus defensas, aumentando así las probabilidades de éxito de su misión.
Utilizar sus propias herramientas en su contra
Otra forma en que los ataques sin archivos aprovechan el concepto “living off the land” es mediante el uso de herramientas nativas del sistema para lograr sus objetivos maliciosos. Algunas herramientas frecuentemente utilizadas son:
- PowerShell se puede utilizar para descargar y ejecutar cargas útiles o desplazarse lateralmente dentro de su red.
- Windows Management Instrumentation puede utilizarse para automatizar tareas administrativas con fines maliciosos.
- Las tareas programadas se pueden utilizar para automatizar tareas y ejecutar actividades maliciosas en el arranque o el inicio de sesión, así como en intervalos de tiempo específicos para garantizar la persistencia.
- Las macros de Microsoft Office pueden utilizarse para invocar motores de secuencias de comandos como CMD.exe o PowerShell con el fin de ejecutar comandos directamente en la memoria, descargar cargas útiles adicionales o interactuar con el sistema sin necesidad de volcar archivos tradicionales en el disco.
Además de herramientas, los atacantes suelen emplear scripts nativos y shellcode, eliminando la necesidad de descargar binarios externos. Este enfoque les permite navegar discretamente por su red aprovechando recursos preexistentes. Por ejemplo, un técnico de soporte que inspeccione las herramientas del sistema de un ordenador o servidor podría encontrarse con tareas programadas y, dada su naturaleza inherente, considerarlas erróneamente legítimas.
Mimetizarse con el entorno
Muchos ataques sin archivos utilizan credenciales válidas para desplazarse lateralmente dentro de un entorno. Pueden utilizar la cuenta comprometida de un director de recursos humanos para acceder a la base de datos de empleados o las credenciales de un administrador de servidores para acceder a las copias de seguridad del sistema y destruirlas antes de un ataque. También operan siguiendo patrones y flujos de tráfico normales. Del mismo modo que un delincuente callejero utilizaría los pasos de peatones para circular por las calles del centro en lugar de cruzar la calle imprudentemente y llamar la atención, los atacantes que no utilizan archivos se comunican con los servidores de control a través de puertos de tráfico web estándar, como el 80 o el 443. Esto les ayuda a pasar desapercibidos entre el tráfico normal de Internet. También utilizan protocolos comunes como DNS para realizar exfiltraciones de datos o peticiones maliciosas. Los ataques sin archivos suelen estar diseñados para lograr su objetivo rápidamente y luego desaparecer sin dejar rastro.
Cómo combatir los ataques sin archivos
La ciberseguridad solía ser simple. Sólo se necesitaba una aplicación antivirus para identificar y mitigar los ataques de virus basados en firmas. Por desgracia, los ataques actuales son mucho más complejos y, por tanto, las medidas defensivas necesarias son también más complicadas. Algunas de las herramientas que pueden ayudar a mitigar los ataques sin archivos son las siguientes:
- Detección y respuesta de dispositivos (EDR)
Las soluciones EDR pueden utilizarse para identificar patrones inusuales que podrían ser indicativos de un ataque sin archivos, como un uso sospechoso de la memoria o un comando PowerShell inesperado. También pueden aprovechar los feeds de inteligencia sobre amenazas para mantenerse al día sobre las últimas metodologías de amenazas, incluidas las utilizadas en los ataques sin archivos.
- Detección y respuesta de red (NDR)
Las soluciones NDR pueden utilizarse para analizar el tráfico de red en tiempo real e identificar correctamente patrones o comportamientos que podrían indicar un ataque sin archivos, como un desplazamiento lateral inusual dentro de la red. Son capaces de realizar inspecciones en profundidad de los paquetes, incluso del tráfico cifrado, para detectar el contenido malicioso.
- Análisis del comportamiento de usuarios y entidades (UEBA)
Las herramientas UEBA supervisan y crean continuamente perfiles de comportamiento de usuarios y entidades en toda la organización, lo que permite a sus equipos de seguridad comprender cómo es la “actividad normal”. Esto les permite establecer puntos de referencia que luego se utilizan para detectar desviaciones o anomalías que puedan indicar una amenaza.
- Gestión de eventos e información de seguridad (SIEM)
Los SIEM se utilizan para recopilar y agregar registros y alertas de múltiples fuentes en toda la red con el fin de analizar los datos de eventos en tiempo real y correlacionar eventos dispares, como los intentos fallidos de inicio de sesión repetidos en las cuentas de usuario.
Además de estas herramientas, las organizaciones están recurriendo al marco MITRE ATT&CK para aumentar su resistencia a los ataques sin archivos, ya que les permite comprender mejor sus metodologías, así como a los atacantes que los utilizan. No es inusual que los equipos de seguridad integren MITRE con su SIEM para aumentar su eficacia. Por ejemplo, MITRE dispone de amplia documentación sobre cómo los atacantes utilizan las tareas programadas de Windows para llevar a cabo de forma discreta una amplia gama de actividades maliciosas.
Usar un SOC para combatir los ataques sin archivos
Como puede ver, los ataques sin archivos son difíciles de detectar, identificar y mitigar. Para ello se necesitan las herramientas adecuadas, así como una amplia experiencia y formación. Por eso, muchas empresas recurren a soluciones de terceros, como los proveedores de SOC, con el fin de obtener la experiencia adecuada para combatir estas amenazas sigilosas. CYREBRO utiliza una combinación adecuada de herramientas de supervisión, análisis de comportamiento y métodos de detección que han demostrado su eficacia contra los ataques sin archivos.
Conclusión
No sólo hay que impedir que los atacantes “living off the land”, sino que también hay que mantenerlos alejados de su tierra si es posible. En las empresas que siguen confiando en las herramientas de seguridad tradicionales y en las contramedidas reactivas, es sólo cuestión de tiempo que se produzca un ataque sin archivos. Proteger su red de este tipo de ataques modernos requiere un enfoque moderno.