umbrella
07/06/2022
Comments 0
Desde tiempos ancestrales los humanos hemos aprendido que a veces con los recursos que tenemos a nuestra disposición tenemos suficiente para obtener lo que necesitamos. No hace falta fabricar nada de nuevo. Vivimos literalmente de lo que nos da la tierra.
Algo similar parece que han descubierto ciertos cibercriminales. ¿Por qué crear un virus que encripta un disco duro de un Windows? No tiene el propio Windows una herramienta para encriptar que se llama BitLocker? Pues vamos a usarlo…. Para encriptar y pedir rescate.
En Windows, por ejemplo, tenemos Powershell y VMI. Si usamos scripts de PowerShell, scripts VB, Mimikatz, PsExec u otras herramientas RAT podemos llegar a hacer mucho daño sin usar ningún virus o malware. Solo unas simples líneas de código que usaremos para gestionar lo que nos da el propio Windows.
Y Linux no escapa también de eso. Multitud de sus propias herramientas también se pueden usar para hacer los ataques.
Y esto lo llamamos Ataques LotL (Living off the Land).
Lo único que necesitan los cibercriminales es una puerta de entrada. Ya sea explotando un zero-day o n-day (por ejemplo los de Exchange o los de log4j descubiertos en 2021), un ataque de cadena de suministro (como los que afectaron a Solarwinds) o engañando al usuario para que les haga parte del trabajo inicial. Y con un simple script o teniendo acceso a los sistemas y ejecutando comandos, pueden hacer tanto daño como si cargasen un malware o virus dentro.
¿Y si no tenemos virus o malware que participe en el ataque, como lo detectamos? Con un antivirus ya está claro que difícil (por no decir imposible) lo tenemos.
Con EDR/XDR, ya mucho podremos hacer. Pero no es suficiente en algunos casos. Así que añadir los servicios de un SOC es muy aconsejable.
Controlando todo el perímetro, todos los equipos de dentro, controlando las herramientas del propio sistema y registrando todos los procesos y analizándolos podremos controlar y/o detener estos ataques. Naturalmente la formación a los usuarios, la implementación temprana de parches y las buenas prácticas en las configuraciones son indispensables. No podemos dejar todo en manos de las herramientas de Ciberseguridad. Han de complementarse.
Para que «vivir de la tierra» siempre sea en nuestro beneficio y los frutos los podamos recolectar nosotros.