Living off the Land
¿Qué es Living off the Land?
Living off the LandEstilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.
Living off the Land (LotL) describe intrusiones donde los adversarios consiguen ejecucion, descubrimiento, persistencia y movimiento lateral usando utilidades del sistema operativo y software de administracion confiable (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Como esos binarios estan firmados y son esperados, suelen evadir los antivirus basados en firmas y se mezclan con la telemetria administrativa normal, convirtiendo la deteccion en un problema de comportamiento mas que de hash. LotL esta muy ligado a las tacticas de evasion y ejecucion de MITRE ATT&CK y es usado por grupos APT y afiliados de ransomware. Las defensas se centran en control de aplicaciones (WDAC/AppLocker), logging de linea de comandos y scriptblock, analitica de comportamiento de EDR y minimo privilegio.
● Ejemplos
- 01
Usar certutil.exe para descargar un segundo payload desde una URL controlada por el atacante.
- 02
Ejecutar PowerShell codificado con bitsadmin y tareas programadas en vez de instalar un EXE.
● Preguntas frecuentes
¿Qué es Living off the Land?
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Living off the Land?
Estilo de ataque que abusa de herramientas y scripts legitimos ya instalados en el sistema victima en lugar de desplegar malware propio.
¿Cómo funciona Living off the Land?
Living off the Land (LotL) describe intrusiones donde los adversarios consiguen ejecucion, descubrimiento, persistencia y movimiento lateral usando utilidades del sistema operativo y software de administracion confiable (PowerShell, WMI, certutil, bitsadmin, schtasks, rundll32, ssh, curl, AWS CLI). Como esos binarios estan firmados y son esperados, suelen evadir los antivirus basados en firmas y se mezclan con la telemetria administrativa normal, convirtiendo la deteccion en un problema de comportamiento mas que de hash. LotL esta muy ligado a las tacticas de evasion y ejecucion de MITRE ATT&CK y es usado por grupos APT y afiliados de ransomware. Las defensas se centran en control de aplicaciones (WDAC/AppLocker), logging de linea de comandos y scriptblock, analitica de comportamiento de EDR y minimo privilegio.
¿Cómo defenderse de Living off the Land?
Las defensas contra Living off the Land combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Living off the Land?
Nombres alternativos comunes: LotL, LOL.
● Términos relacionados
- attacks№ 632
LOLBin / LOLBAS
Binario o script nativo y firmado (LOLBin/LOLBAS) que el atacante abusa para ejecutar codigo, descargar payloads, persistir o evadir controles aparentando ser una herramienta legitima.
- malware№ 417
Malware sin archivos
Malware que se ejecuta principalmente en memoria y abusa de herramientas legítimas del sistema, evitando el uso de ejecutables tradicionales en disco.
- defense-ops№ 298
Evasión de Defensas
Táctica MITRE ATT&CK (TA0005) que cubre las técnicas con las que un atacante evita detección, desactiva herramientas de seguridad y oculta su actividad.
- defense-ops№ 682
Mimikatz
Herramienta de post-explotacion para Windows que extrae contrasenas en claro, hashes, tickets Kerberos y otras credenciales desde la memoria y LSASS.
- defense-ops№ 371
EDR (Detección y Respuesta en Endpoints)
Tecnología de seguridad para endpoints que registra continuamente actividad de procesos, ficheros, registro y red para detectar, investigar y responder a amenazas en los equipos.
- defense-ops№ 1147
Caza de Amenazas
Búsqueda proactiva basada en hipótesis sobre la telemetría para descubrir amenazas que han eludido las detecciones existentes.
● Véase también
- № 045Bypass de AMSI
- № 1186Bypass de UAC