En aquests incidents, els hackers no fan servir eines malicioses, sinó que es colen en els sistemes objectiu i s’aprofiten de les possibilitats.

Els ciberdelinqüents no sempre se serveixen d’eines malicioses desenvolupades per ells mateixos o llogades a altres ciberdelinqüents per als seus atacs, sinó que poden fer servir les eines mateixes de les organitzacions perquè els serveixin a favor seu. És el que es coneix com a ‘atacs Living Off the Land (LOTL)’.

Sense necessitat d’introduir cap codi maliciós (malware), els actors d’atacs abusen d’aplicacions i processos legítims ja presents en els sistemes objectiu per tal de dur a terme accions malicioses, com ara escalades de privilegis, moviments laterals o extraccions de dades.

D’aquesta manera, els pirates informàtics poden passar desapercebuts dins de l’activitat normal del sistema, cosa que dificulta molt la detecció per part d’antivirus tradicionals o solucions d’endpoint. Aquests incidents es poden observar en múltiples entorns, com ara Windows, MacOS, Linux, com també en ambients híbrids i núvols. 

Un gran nombre de ciberatacs moderns, inclosos alguns atribuïts a grups patrocinats per estats, fan servir aquestes tècniques per mantenir un accés persistent i operar de manera sigil·losa, especialment en entorns complexos o infraestructures crítiques.

El problema és que moltes organitzacions no tenen registres (logs) detallats ni eines d’anàlisi de comportament ben afinades, cosa que impedeix distingir amb precisió entre una activitat legítima i una acció maliciosa disfressada. Així ho posa de manifest un informe sobre atacs LOTL elaborat per la CISA, la NSA i l’FBI, en col·laboració amb diversos centres de ciberseguretat de països aliats als EUA, com el Regne Unit, Austràlia, Canadà i Nova Zelanda.

Tipus d’atacs a LOTL

Una anàlisi, de més de 700.000 incidents, va mostrar que aproximadament el 84 % dels atacs més greus feien servir LOTL. 

Al document esmentat, patrocinat per les autoritats dels EUA, es pot trobar una classificació dels Living Off the Land segons la funció que compleixen a la cadena d’atac. 

• La primera categoria és la dels LOLBins, binaris nadius del sistema que poden ser manipulats per executar codi o tasques malicioses, com ara PowerShell, rundll32.exe, regsvr32.exe o certutil.exe a Windows; osascript i launchctl a macOS; i bash, curl, wget o ssh a Linux. 
• Una altra categoria són els LOLScripts, scripts i llenguatges interpretats preinstal·lats que poden executar tasques de persistència, moviment lateral o exfiltració de dades sense generar fitxers nous, inclosos el PowerShell, VBScript, Python, Perl o Bash. 
• També hi ha tècniques per a persistència mitjançant tasques programades o modificació de serveis, i per a moviment lateral, que fan servir WMI, PsExec, PowerShell Remoting o SSH. Finalment, els atacants fan servir aquestes eines per exfiltrar informació o comunicar-se amb servidors d’ordres de manera que aquest fet passi desapercebut.

Com protegir-se

El projecte LOLBAS (Living Off the Land Binaries and Scripts), allotjat a Github, documenta més de 200 binaris, scripts i biblioteques a Windows que poden ser abusats pels atacants. No és una iniciativa corporativa ni d’una agència oficial, sinó un projecte comunitari liderat per diversos experts en seguretat durant el seu temps lliure.

La seva funció és servir com a referència per a equips de seguretat defensiva (blue team), ofensiva (red team) i per a investigadors, ajudant-los a entendre quines eines del sistema poden ser utilitzades de manera maliciosa i com mapejar-les a tècniques com les del marc MITRE ATT&CK.

LOLBAS va ser iniciat originalment el 2018 i es va basar en investigacions de la comunitat sobre l’abús d’eines del sistema i ha crescut fins a convertir-se en un recurs estàndard de facto al sector de la ciberseguretat.

Això és només un recurs, però les empreses han de fer els deures. Per protegir-se, les autoritats insten els fabricants de programari a millorar els seus productes mitjançant la incorporació de principis de seguretat per disseny. 

Això vol dir que les eines i les plataformes haurien d’oferir configuracions segures per defecte, registres rics en detalls sense cost addicional per als usuaris, i reduir les funcions que poden ser explotades fàcilment per atacants que fan servir l’LOTL.