La mayoría de los ataques LotL (Living off the Land), es decir, aquellos que aprovechan las puertas de entrada existentes en los sistemas informáticos, siguen un patrón similar: se infiltran en una red empresarial, comprometen los sistemas, escalan privilegios y se mueven lateralmente hasta obtener el acceso a los sistemas sensibles que necesitan para ejecutar su ataque ransomware.
Usando el análisis ATT&CK, la fuente de información colaborativa cuyo objetivo es capturar las técnicas, tácticas y procedimientos (TTP) de las amenazas persistentes avanzadas (APT) para entender cómo operan los atacantes, es posible desglosar comportamientos y señales de alerta en la etapa crítica de un ataque de ransomware LotL, para detectarlo lo antes posible y reducir el daño. Se puede hacer en distintas etapas:
Primer contacto
Muchos de los atacantes se basan en las probadas técnicas de phishing, mientras que otros obtienen acceso inyectando código malicioso o secuencias de comandos en una experiencia de navegación online normal para descubrir vulnerabilidades, lo que se conoce como compromiso de drive-by. Otros, incluso, manipulan el software antes de que llegue al usuario final en un ataque a la cadena de suministro. Cualquiera de estas técnicas, o una combinación de varias, abrirá la puerta.
Ejecuta tus ejecutables
Una vez dentro, el objetivo del atacante es ejecutar el código malicioso a través de diversas opciones: desde abusar de los comandos de PowerShell hasta manipular PsExec, una herramienta que brinda a los administradores de TI una forma de ejecutar procesos usando las credenciales de cualquier identidad de forma remota. También es posible crear un entorno uniforme para el acceso remoto y local a los componentes del sistema de Windows a través de Instrumental de Administración de Windows (WMI), que puede abrir rutas de ataque. O, como se vio en el ataque a la cadena de suministro SolarWinds, los ciberdelincuentes pueden modificar el código fuente y provocar una actualización de seguridad, aparentemente inocua, que, en realidad, es el malware disfrazado.
Mantener el punto de apoyo
Esta es la etapa en la que LotL realmente se convierte en LotL, cuando el atacante se instala y aprovecha al máximo el tiempo y el anonimato que sus técnicas le ofrecen. En esta etapa, el atacante puede crear sus propias cuentas para mantener el acceso a los sistemas de las víctimas o utilizar Logon AutoStart para ejecutar programas durante los arranques del sistema y obtener acceso a más privilegios en los sistemas comprometidos.
Take it Up a Notch
Una vez asentado, el atacante busca obtener permisos de nivel superior. Por ello, muchos buscan credenciales de cuenta de dominio, especialmente las de los administradores de dominio que tienen acceso a sistemas Tier0, como Active Directory, y prefieren cuentas de servicio vinculadas a identidades no humanas, pues estas contraseñas se cambian con poca frecuencia. A través de técnicas como el volcado de credenciales del sistema operativo, los atacantes obtienen la información de inicio de sesión a medida que se acercan a las claves de los sistemas más potentes. Todo ello, bajo la apariencia de cuentas y herramientas legítimas para evadir las defensas.
Forjar un pase de acceso total
Con los privilegios de administrador de dominio conseguidos, el atacante puede manipular los controladores de dominio o extraer datos de contraseña de Active Directory mediante la ejecución de DCSync, que puede producir hashes actuales e históricos de cuentas potencialmente útiles o intentar tener acceso a secretos de Autoridad de Seguridad Local (LSA) para obtener información de las cuentas.
Moverse con facilidad
Con libertad de movimientos, ahora el atacante se centra en el movimiento lateral. Sus claves Kerberos falsificadas le permiten eludir los controles de seguridad y acceso mientras busca datos para extraer y espera el momento adecuado para exfiltrar datos sensibles, cifrar archivos y exigir un rescate. En otros casos, el atacante puede usar cuentas válidas para interactuar con un recurso compartido de red remoto usando Server Message Block (SMB).
Con tantas técnicas a disposición de los atacantes, puede ser difícil averiguar cómo abordar las áreas de vulnerabilidad o por dónde comenzar. El diseño de una estrategia eficaz de protección contra ransomware requiere que las organizaciones investiguen las zonas a lo largo de la cadena de ataque que presentan los niveles más altos de riesgo y las prioricen. Pero cuando se trata de mitigar el daño causado por los ataques LotL, la primera etapa suele ser el sitio donde comenzar. Un enfoque de seguridad endpoint de varias capas que combina la defensa de privilegios mínimos, la autenticación fuerte para las identidades, la protección contra el robo de credenciales, el control de aplicaciones y el bloqueo de ransomware hará que resulte más difícil para los atacantes obtener acceso y mantener la persistencia.