Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Living off the Land: cómo los hackers se mezclan en su entorno

Oakley Cox, Director of Analysis

Los ciberdelincuentes no necesitan escribir malware a medida para cada ataque. A menudo es más barato, fácil y eficaz utilizar la propia infraestructura de una organización cuando intentan realizar un ataque. Esta estrategia, conocida como ‘Living off the Land’, implica que los actores de la amenaza aprovechen las utilidades fácilmente disponibles dentro del entorno digital de la organización objetiva para moverse a través de la cadena de ciberdestrucción.

Entre algunas de las herramientas más utilizadas para fines nefastos se encuentran: PowerShell, Windows Management Interface (WMI) y PsExec. Los administradores de red utilizan estas herramientas regularmente como parte de sus rutinas diarias, y lastimosamente, las herramientas de seguridad tradicionales que dependen de reglas y firmas estáticas suelen tener dificultades para distinguir entre su uso legítimo y malintencionado.

Si bien el término se acuñó por primera vez en 2013, las herramientas, técnicas y procedimientos (TTP) de la técnica de ataque ‘Living off the Land’ han ganado una gran popularidad en los últimos años. En parte, esto se debe a que el enfoque tradicional de la seguridad defensiva (bloqueo de archivos, dominios y otras amenazas detectadas en ataques anteriores) está mal equipado para identificar estos ataques. De modo que estos ataques , a menudo infiltrados, se han abierto camino convirtiéndose en algo habitual.

Y, de manera preocupante, los ataques ‘Living off the Land’ cuentan con una historia particular en el ámbito de la piratería informática altamente organizada y dirigida. Los grupos de amenazas persistentes avanzadas (APT) han favorecido durante mucho tiempo las herramientas, técnicas y procedimientos de ‘Living off the Land’ ya que para ellos la evasión es una prioridad máxima. Y las tendencias muestran que los grupos de ransomware están optando por ransomware operado por humanos que depende en gran medida de las técnicas de ‘Living off the Land’ en lugar del malware comercial.

Características distintivas de un ataque ‘Living off the Land’

Antes de que un actor de amenazas ponga su infraestructura en su contra en un ataque ‘Living off the Land’, debe ser capaz de ejecutar comandos en un sistema objetivo. Por lo tanto, los ataques ‘Living off the Land’ son un marco de post-infección para el reconocimiento de la red, el movimiento lateral y la persistencia.

Una vez infectado un dispositivo, hay cientos de herramientas del sistema a disposición del atacante, que pueden preinstalarse en el sistema o descargarse a través de archivos binarios firmados por Microsoft. Y, en las manos equivocadas, otras herramientas de administración de terceros de confianza en la red también pueden cambiar de amigo a enemigo.

A medida que las técnicas de ‘Living off the Land’ evolucionan, un solo ataque típico es difícil de determinar. Sin embargo, podemos agrupar las herramientas, técnicas y procedimientos en categorías más amplias.

Herramientas, técnicas y procedimientos de ‘Living off the Land’ firmados por Microsoft

Microsoft es universal en el mundo empresarial y en todos los sectores. El proyecto “Living off the Land Binaries and Scripts” (LOLBAS) tiene como objetivo documentar todos los binarios y secuencias de comandos firmados por Microsoft que incluyen funcionalidad para grupos APT en los ataques ‘Living off the Land’. Hasta la fecha, hay 135 herramientas del sistema en esta lista que son vulnerables al mal uso, cada una ayudando a un objetivo diferente. Podrían ser la creación de nuevas cuentas de usuario, la compresión y exfiltración de datos, la recopilación de información del sistema, el lanzamiento de procesos en un destino objetivo o incluso la desactivación de los servicios de seguridad. Tanto la documentación de Microsoft de herramientas preinstaladas vulnerables como el proyecto LOLBAS son listas cada vez mayores y no exhaustivas.

Línea de comandos

Según estudios recientes, cuando se trata de entregar una carga útil maliciosa al destino, los atacantes utilizaron con mayor frecuencia WMI (WMIC.exe), la herramienta de línea de comandos (cmd.exe) y PowerShell (powershell.exe). Estas utilidades de línea de comandos habitualmente utilizadas se emplean durante la configuración de la gestión de seguridad y las propiedades del sistema, proporcionan actualizaciones confidenciales del estado de la red o del dispositivo, y facilitan la transferencia y ejecución de archivos entre dispositivos.

Específicamente, el grupo de línea de comandos comparte tres rasgos clave:

  1. Están disponibles fácilmente en sistemas Windows.
  2. La mayoría de los administradores o procesos internos los utilizan con frecuencia para realizar tareas cotidianas.
  3. Pueden realizar sus funciones principales sin escribir datos en un disco.

Mimikatz

Mimikatz difiere de otras herramientas en que no está preinstalada en la mayoría de los sistemas. Es una utilidad de código abierto que se utiliza para el vertido de contraseñas, hashes, pins y tickets Kerberos. Aunque algunos administradores de red pueden utilizar Mimikatz para realizar evaluaciones de vulnerabilidad internas, no está disponible en los sistemas Windows.

Los enfoques de seguridad tradicionales utilizados para detectar la descarga, instalación y uso de Mimikatz son a menudo insuficientes. Existe una amplia gama de técnicas verificadas y bien documentadas para confundir herramientas como Mimikatz, lo que significa que incluso un atacante poco sofisticado puede trastocar detecciones básicas de cadenas o basadas en hash.

La IA de Autoaprendizaje pelea contra los ataques ‘Living off the Land’

Las técnicas de ‘Living off the Land’ han demostrado ser increíblemente eficaces para permitir que los atacantes se mezclen con los entornos digitales de las organizaciones. Es normal que millones de credenciales, herramientas de red y procesos se registren cada día en un único ecosistema digital. Entonces, ¿cómo pueden los defensores detectar el uso malintencionado de herramientas legítimas en medio de este ruido digital?

Como en la mayoría de las amenazas, la higiene básica de las redes es el primer paso. Esto incluye la implementación del principio de privilegio mínimo, la desactivación de todos los programas innecesarios, la configuración de listas blancas de software y la realización de comprobaciones de inventario de activos y aplicaciones. Sin embargo, si bien estas medidas son un paso en la dirección correcta, con el tiempo suficiente, un atacante sofisticado siempre se las arreglará para sortearlas.

La IA de Autoaprendizaje se ha vuelto fundamental para iluminar a los atacantes que utilizan la propia infraestructura de una organización contra ellos. Comprende a la perfección partiendo desde cero cualquier entorno digital único, entendiendo el ‘patrón de vida’ de cada dispositivo y usuario. Los ataques ‘Living off the Land’ son identificados en tiempo real a partir de una serie de desviaciones sutiles. Esto puede incluir la utilización de una nueva credencial o un uso poco habitual de SMB/DCE-RPC.

Su profundo conocimiento del negocio le permite detectar ataques que quedan fuera del ojo de otras herramientas. Con un ataque ‘Living off the Land’, la IA reconocerá que, aunque el uso de una herramienta particular podría ser normal para una organización, la manera en que se usa esa herramienta revela un comportamiento aparentemente benigno que es inequívocamente malicioso.

Por ejemplo, la IA de Autoaprendizaje puede observar el uso frecuente de agentes de usuario de PowerShell en varios dispositivos, pero solo informará de una incidencia si detecta al agente de usuario en un dispositivo en un momento inusual.

De forma similar, Darktrace puede observar cómo se envían comandos WMI entre miles de combinaciones de dispositivos cada día, pero solo avisará sobre dicha actividad si los comandos son poco comunes tanto para el origen como para el destino.

E incluso los indicadores sutiles de la explotación de Mimikatz, como el uso de nuevas credenciales o el tráfico poco común de SMB, no quedarán enterrados entre las operaciones normales de la infraestructura.

Las técnicas de ‘Living off the Land’ vinieron para quedarse por un tiempo. Reconociendo esto, los equipos de seguridad están empezando a alejarse de las defensas ‘tradicionales’ que dependen de los datos históricos de los ataques para capturar el siguiente ataque, y hacia la IA que utiliza una comprensión a medida y en evolución de su entorno para detectar desviaciones sutiles indicativas de una amenaza, incluso si esa amenaza utiliza herramientas legítimas.

Gracias a los analistas de Darktrace, Isabel Finn y Paul Jennings, por sus conocimientos sobre la amenaza mencionada y su apoyo al mapeo de MITRE ATT&CK.

Técnicas MITRE ATT&CK observadas:

TácticasTécnicas MITRE y detecciones de Darktrace
ReconnaissanceActive Scanning: Vulnerability Scanning (T1595.002)
Anomalous Server Activity::Server Activity on New Non-Standard Port
Resource DevelopmentObtain Capabilities: Malware (T1588.001)
Anomalous File::EXE from Rare External Location
Initial AccessDrive-By Compromise (T1189)
Anomalous File::EXE from Rare External Location
Unusual Activity::Suspicious RPC Sequence

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Hardware Additions (T1200)
Device::New Device with Attack Tools
Device::Attack and Recon Tools

Trusted Relationship (T1199)
Device::Large Outbound VPN Data
Anomalous Connection::New Outbound VPN

Valid Accounts (T1078)
User::New Admin Credentials on Client
ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
Anomalous Connection::Powershell to Rare External
IaaS::Compute::Anomalous Command Run on Azure VM
Device::New PowerShell User Agent
Device::Anomalous Active Directory Web Services

Command and Scripting Interpreter: Unix Shell (T1059.004)
IaaS::Compute::Anomalous Command Run on Azure VM

Command and Scripting Interpreter: Windows Command Shell (T1059.003)
IaaS::Compute::Anomalous Command Run on Azure VM

Inter-Process Communication: Component Object Model (T1559.001)
Unusual Activity::Suspicious RPC Sequence

Windows Management Instrumentation (T1047)
Device::New or Uncommon WMI Activity
Device::Unusual WinRM - Heuristic
Anomalous Connection::Rare WinRM Outgoing
Device::Incoming WinRM And Script Download
PersistenceCreate Account (T1136)
User::New Credential for Client
User::Multiple Uncommon New Credentials on Device

Create Account: Domain Account (T1136.002)
User::Anomalous Domain User Creation Or Addition To Group

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Privilege EscalationDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Defense EvasionDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
Credential AccessBruteforce (T1110)
Unusual Activity::Large Volume of Kerberos Failures
Device::Bruteforce Activity
Device::Spike in LDAP Activity
Device::SMB Session Bruteforce
Device::Anomalous NTLM Bruteforce
Unusual Activity::Successful Admin Bruteforce Activity
Device::LDAP Bruteforce Activity
Anomalous Server Activity::Unusual Server Kerberos

Bruteforce: Credential Stuffing (T1110.004)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Device::LDAP Password Spray

Bruteforce: Password Cracking (T1110.002)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity

Bruteforce: Password Guessing (T1110.001)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Unusual Activity::Large Volume of Radius Failures

Bruteforce: Password Spraying (T1110.003)
Device::Spike in LDAP Activity
Device::LDAP Password Spray

OS Credential Dumping: DCSync (T1003.006)
Unusual Activity::Suspicious RPC Sequence

Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001)
Device::Active Directory Reconnaissance

Unsecured Credentials: Group Policy Preferences (T1552.006)
Device::Unusual Group Policy Access

Unsecured Credentials: Credentials In Files (T1552.001)
Anomalous File::Internal::New Access to Sensitive File
DiscoveryAccount Discovery: Domain Account (T1087.002)
Device::Possible Active Directory Enumeration

Domain Trust Discovery (T1482)
Device::Possible Active Directory Enumeration

File and Directory Discovery (T1083)
Anomalous Connection::SMB Enumeration
Compliance::SMB Drive Write
User::Suspicious Admin SMB Session
Device::Suspicious SMB Query
Unusual Activity::SMB Access Failures

Network Service Scanning (T1046)
Unusual Activity::Possible RPC Recon Activity
Device::Possible RPC Endpoint Mapper Dump

Network Share Discovery (T1135)
Anomalous Connection::SMB Enumeration
Unusual Activity::Anomalous SMB Reads to New or Unusual Locations
Device::Suspicious SMB Query

Query Registry (T1012)
Device::Suspicious SMB Query

Remote System Discovery (T1018)
Anomalous Connection::SMB Enumeration

System Information Discovery (T1082)
Device::Suspicious SMB Query

System Network Configuration Discovery (T1016)
Device::Suspicious SMB Query
Lateral MovementExploitation of Remote Services (T1210)
Device::New User Agent To Internal Server
Device::Suspicious New User Agents
Device::New PowerShell User Agent
Device::New User Agent

Lateral Tool Transfer (T1570)
Compliance::SMB Drive Write
Anomalous File::Internal::Internal File Transfer on New Port

Taint Shared Content (T1080)
Compliance::SMB Drive Write

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
CollectionAutomated Collection (T1119)
Unusual Activity::Internal Data Transfer

Data Staged (T1074)
Unusual Activity::Internal Data Transfer
Anomalous Connection::Unusual Incoming Data Volume

Email Collection (T1114)
Unusual Activity::Internal Data Transfer
Command and ControlApplication Layer Protocol: Web Protocols (T1071.001)
Compromise::Empire Python Activity Pattern

Ingress Tool Transfer (T1105)
Anomalous File::EXE from Rare External Location

Non-Standard Port (T1571)
Anomalous Connection::Application Protocol on Uncommon Port
ImpactAccount Access Removal (T1531)
User::Admin Domain Password Change

Data Encrypted for Impact (T1486)
Unusual Activity::Sustained Anomalous SMB Activity

Service Stop (T1489)
Anomalous Connection::New or Uncommon Service Control
Anomalous Connection::High Volume of New or Uncommon Service Control

Oakley Cox

Oakley Cox is Director of Analysis at Darktrace, based at the Cambridge headquarters. He oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.