Francesc Xavier Vendrell – Senior Security Consultant

Des de temps ancestrals els humans hem après que a vegades amb els recursos que tenim a la nostra disposició tenim suficient per obtenir el que necessitem. No fa falta fabricar res de nou. Vivim literalment del que ens dona la terra.

Alguna cosa similar sembla que han descobert certs cibercriminals. Per què crear un virus que encripta un disc dur d’un Windows? No té el propi Windows una eina per encriptar que es diu BitLocker? Doncs utilitzem-lo… per encriptar i demanar rescat.

A Windows, per exemple, tenim Powershell i VMI. Si utilitzem scripts de PowerShell, scripts VB, Mimikatz, PsExec o altres eines RAT podem arribar a fer molt mal sense utilitzar cap virus o malware. Només unes simples línies de codi que utilitzarem per gestionar el que ens dona el propi Windows.

I Linux no s’escapa també d’això. Multitud de les seves pròpies eines també es poden utilitzar per fer els atacs.

I això ho anomenarem Atacs LotL (Living off the Land).

L’únic que necessiten els cibercriminals és una porta d’entrada. Ja sigui explotant un zero-day o n-day (per exemple els d’Exchange o els de log4j descoberts el 2021), un atac de cadena de subministrament (com els que van afectar a Solarwinds) o enganyant a l’usuari perquè les faci part del treball inicial. I amb un simple script o tenint accés als sistemes i executant comandaments, poden fer tant mal com si carreguessin un malware o virus dins.

I si no tenim virus o malware que participi en l’atac, com el detectem? Amb un antivirus ja està clar que difcíl (per no dir impossible) ho tenim.

Amb EDR / XDR, ja molt podrem fer. Però no és suficient en alguns casos. Així que afegir els serveis d’un SOC és molt aconsellable.

Controlant tot el perímetre, tots els equips de dins, controlant les eines del propi sistema i registrant tots els processos i analitzant-los podrem controlar i/o detenir aquests atacs. Naturalment, la formació als usuaris, la implementació primerenca de pegats i les bones pràctiques en les configuracions són indispensables. No podem deixar tot en mans de les eines de Ciberseguretat. Han de complementar-se.

Perquè “viure de la terra” sempre sigui en el nostre benefici i els fruits els puguem recol·lectar nosaltres.

Tags