Ataques Living-off-the-Land: el desafío y WatchGuard Advanced EPDR
En el ámbito de la ciberseguridad, los ataques Living-off-the-Land (LotL) se volvieron cada vez más difíciles de detectar. Estos ataques explotan herramientas legítimas del sistema, como PowerShell, WMI o macros de Office, en lugar de depender de malware externo, lo que permite a los atacantes moverse sigilosamente dentro de una red. Las medidas de seguridad tradicionales tienen dificultades para identificar estos ataques, ya que utilizan herramientas confiables y firmadas digitalmente.
Los ataques LotL atraen a los ciberdelincuentes porque evaden la detección y reducen el riesgo de ser rastreados. Este enfoque de bajo perfil aumenta las posibilidades de una vulneración exitosa, ya que los atacantes permanecen ocultos durante períodos más largos.
Técnicas comunes en los ataques LotL
- PowerShell: esta técnica se aplica para descargar y ejecutar scripts maliciosos, establecer conexiones remotas o alterar la configuración del sistema sin dejar rastros claros.
- WMI: se utiliza para ejecutar comandos de forma remota, recopilar datos del sistema o mantener la persistencia en el sistema.
- Herramientas de administración remota: se puede modificar la utilidad de algunas herramientas, como PsExec, para ejecutar comandos maliciosos de forma remota.
- Macros de Office: Las macros maliciosas incrustadas en documentos de Office ejecutan código al abrirse, aprovechándose de la confianza del usuario.
Protección contra ataques LotL con WatchGuard Advanced EPDR:
- Control de aplicaciones: restrinja el uso de herramientas como PowerShell y WMI a usuarios y procesos específicos.
- Supervisión y análisis de comportamiento automatizado: utilice el análisis de comportamiento en la nube para detectar actividades inusuales del sistema, en lugar de depender únicamente de firmas o tecnología de endpoints.
Para implementar con éxito estas estrategias, aparte de nuestro Servicio de Zero-Trust Application, que bloquea las aplicaciones no confiables hasta que se valide su confiabilidad, y nuestro servicio de Threat Hunting, WatchGuard Advanced EPDR ofrece funcionalidades que permiten a los analistas de seguridad detectar y responder rápidamente a la presencia de un atacante que utiliza técnicas LotL.
Los analistas pueden prevenir estos ataques denegando aplicaciones como PowerShell y WMI o detectando automáticamente los comportamientos típicos utilizados en los ataques de malware sin archivos y asignándolos al marco MITRE ATT&CK.
Ahora, la nueva versión de Advanced EPDR permite a los analistas investigar estos comportamientos accediendo a telemetría enriquecida con inteligencia de amenazas desde un único punto de la consola. Además, WatchGuard Advanced EPDR proporciona información valiosa para la investigación de incidentes relacionados con aplicaciones maliciosas. Identifica las técnicas MITRE ATT&CK, las capacidades de las actividades maliciosas que puede exhibir el programa y las funciones externas que utiliza. Estas pueden incluir la invocación de operaciones del sistema operativo u otras bibliotecas mediante la integración nativa de CAPA, una herramienta de código abierto para analizar automáticamente el comportamiento de las aplicaciones.
- Extensión de la investigación y respuesta rápida a través de shell remoto: la nueva versión de WatchGuard Advanced EPDR incluye la capacidad de abrir un shell remoto para obtener archivos, inspeccionar procesos e incluso tomar medidas directas en el endpoint, ya sea en Windows, Linux o macOS.
- No permita las conexiones si representan un riesgo: limitar la comunicación entre diferentes segmentos de red o endpoints mediante la segmentación de red puede evitar que los atacantes se muevan lateralmente utilizando técnicas LotL. La nueva versión de WatchGuard Advanced EPDR permite a los administradores denegar las conexiones de los endpoints que no cumplen con los requisitos y que representan un riesgo para los endpoints protegidos, lo que mejora aún más las posiciones de seguridad de las organizaciones.
- Educación y concientización: capacitar a los empleados sobre los riesgos de las macros y el uso seguro de las herramientas administrativas puede ayudar a prevenir la ejecución inadvertida de scripts maliciosos.
Conclusión
Los ataques Living-off-the-Land representan un desafío importante en la ciberseguridad moderna. Al explotar herramientas y funcionalidades legítimas del sistema, los atacantes pueden operar con un perfil bajo y, así, evadir muchas soluciones de seguridad tradicionales. La detección y prevención efectivas de estos ataques requieren una combinación de controles técnicos sólidos, supervisión constante y una sólida capacitación en seguridad para los usuarios. Con la nueva versión de WatchGuard Advanced EPDR, las organizaciones pueden mejorar su capacidad para detectar, prevenir y responder a estas amenazas avanzadas, lo que garantiza un entorno más seguro y resistente.
