¿Qué es un Earth Life Attack y cómo puedes prevenirlo?

En la mayoría de los ataques cibernéticos, el malware infecta la computadora de la víctima y actúa como estación de acoplamiento del atacante. Encontrar y eliminar esta estación de acoplamiento es relativamente fácil con antimalware. Pero existe otro método de ataque en el que el ciberdelincuente no necesita instalar ningún malware.


En cambio, un atacante ejecuta un script que utiliza los recursos del dispositivo para el ciberataque. Y lo peor de todo, un ataque Living off the Land (LotL) puede pasar desapercibido durante mucho tiempo. Sin embargo, es posible prevenir, encontrar y neutralizar estos ataques.


¿Qué es un ataque LotL?

Un ataque LotL es un tipo de ataque sin archivos en el que un hacker usa los programas que ya están en un dispositivo en lugar de usar malware. Este método de usar programas nativos es más sutil y hace que sea menos probable que se descubra el ataque.

Algunos programas nativos que los piratas informáticos suelen utilizar para los ataques de LotL incluyen Command Line Console, PowerShell, Windows Registry Console y Windows Management Instrumentation Command Line. Los piratas informáticos también utilizan hosts de secuencias de comandos basados ​​en Windows y en consola (WScript.exe y CScript.exe). Las herramientas se incluyen con cada computadora con Windows y son necesarias para realizar tareas administrativas normales.

¿Cómo ocurren los ataques de LotL?

Foto de la interfaz de línea de comandos

Aunque los ataques de LotL no tienen archivos, los piratas aún confían en trucos familiares de ingeniería social para descubrir a quién apuntar. Muchos ataques ocurren cuando un usuario visita un sitio web peligroso, abre un correo electrónico de phishing o usa una unidad USB infectada. Estos sitios web, correos electrónicos o dispositivos multimedia contienen el kit de ataque que contiene el script sin archivos.

En la siguiente etapa del hackeo, el kit escanea los programas del sistema en busca de vulnerabilidades y ejecuta el script para comprometer los programas vulnerables. Desde allí, el atacante puede acceder de forma remota a la computadora y robar datos o crear puertas traseras de vulnerabilidad utilizando solo programas del sistema.

Qué hacer si eres víctima de un ataque de living off the ground

Dado que los ataques de LotL utilizan programas nativos, es posible que su antivirus no detecte el ataque. Si es un usuario experimentado de Windows o conoce la tecnología, puede usar la auditoría de línea de comandos para detectar atacantes y eliminarlos. En este caso, buscará registros de procesos que parezcan sospechosos. Comience auditando procesos con letras y números aleatorios; comandos de administración de usuarios en lugares extraños; ejecuciones de script sospechosas; conexiones a URL o direcciones IP sospechosas; y puertos vulnerables y abiertos.

Deshabilitar wifi

Si confía en el antimalware para la protección de su dispositivo como la mayoría de las personas, es posible que no se dé cuenta de que el daño se ha producido hasta mucho más tarde. Si tiene pruebas de que ha sido pirateado, lo primero que debe hacer es desconectar su computadora de Internet. De esta forma, el hacker no puede comunicarse con el dispositivo. También debe desconectar el dispositivo infectado de otros dispositivos si es parte de una red más grande.

Sin embargo, apagar su Wi-Fi y aislar el dispositivo infectado no es suficiente. Así que intente apagar el enrutador y desconectar los cables Ethernet. También es posible que deba apagar el dispositivo mientras hace lo siguiente para lidiar con el ataque.

Restablecer contraseñas de cuenta

Deberá asumir que sus cuentas en línea han sido comprometidas y cambiarlas. Esto es importante para prevenir o detener el robo de identidad antes de que el hacker cause daños graves.

foto de una persona usando una computadora

Comience por cambiar la contraseña de las cuentas que mantienen sus activos financieros. Luego, cambie a cuentas de trabajo y redes sociales, especialmente si esas cuentas no tienen habilitada la autenticación de dos factores. También puede usar un administrador de contraseñas para crear contraseñas seguras. También considere habilitar 2FA en su cuenta si la plataforma lo admite.

Retire su unidad y haga una copia de seguridad de sus archivos

Si tiene los conocimientos adecuados, retire el disco duro de la computadora infectada y conéctelo como un disco duro externo a otra computadora. Realice un escaneo profundo del disco duro para encontrar y eliminar cualquier elemento malicioso de la computadora anterior. Luego continúe copiando sus archivos importantes a otra unidad extraíble y limpia. Si necesita asistencia técnica, no dude en pedir ayuda.

Limpie el disco viejo

Ahora que tiene una copia de seguridad de sus archivos importantes, es hora de limpiar el disco antiguo. Vuelva a colocar el disco antiguo en la computadora infectada y realice una limpieza profunda.

Haz una instalación limpia de Windows

Una instalación limpia borra todo en su computadora. Esto suena como una exageración, pero es necesario debido a la naturaleza de los ataques de LotL. No hay forma de saber cuántos programas nativos ha comprometido un atacante u ocultado puertas traseras. La apuesta más segura es limpiar todo e instalar el sistema operativo limpiamente.

Instalar parches de seguridad

Lo más probable es que el archivo de instalación esté atrasado en lo que respecta a las actualizaciones de seguridad. Entonces, después de instalar un sistema operativo limpio, busque e instale actualizaciones. También considere eliminar el bloatware: no está mal, pero es fácil olvidarse de él hasta que note que algo está acaparando los recursos de su sistema.

Cómo prevenir los ataques de LotL

A menos que tengan acceso directo a su computadora, los piratas informáticos siempre necesitan una forma de entregar su carga útil. El phishing es la forma más común que usan los piratas informáticos para averiguar a quién piratear. Otros medios incluyen hacks de Bluetooth y ataques man-in-the-middle. De cualquier manera, la carga útil se disfraza como archivos legítimos, como un archivo de Microsoft Office que contiene secuencias de comandos breves y ejecutables para evitar la detección. Entonces, ¿cómo se previenen estos ataques?

Mantenga su software actualizado

instalar una actualización del sistema operativo

La carga útil de los ataques de LotL siempre se basa en las vulnerabilidades de un programa o de su sistema operativo para ejecutarse. Configurar su dispositivo y programas para descargar e instalar actualizaciones de seguridad tan pronto como estén disponibles puede convertir la carga útil en un fracaso.

Establecer políticas de restricción de software

Mantener su software actualizado es un buen comienzo, pero el panorama de la ciberseguridad está cambiando rápidamente. Puede perder una ventana de actualización para eliminar las vulnerabilidades antes de que los atacantes las exploten. Como tal, es mejor restringir cómo los programas pueden ejecutar comandos o usar los recursos del sistema en primer lugar.

Tiene dos opciones aquí: programas de lista negra o lista blanca. La inclusión en la lista blanca es el proceso de otorgar acceso a una lista de programas a los recursos del sistema de forma predeterminada. Otros programas existentes y nuevos están restringidos de forma predeterminada. Por el contrario, la lista negra consiste en hacer una lista de programas que no pueden acceder a los recursos del sistema. De esta manera, otros programas existentes y nuevos pueden acceder a los recursos del sistema predeterminados. Ambas opciones tienen sus ventajas y desventajas, por lo que deberá decidir cuál es la mejor para usted.

No existe una varita mágica para los ciberataques

La naturaleza de los ataques de Living off the Land significa que la mayoría de las personas no sabrán que han sido pirateadas hasta que algo salga mal. E incluso si tiene conocimientos técnicos, no hay una forma de saber si un adversario se ha infiltrado en su red. Lo mejor es evitar los ataques cibernéticos en primer lugar tomando precauciones razonables.

Leave a Reply

Your email address will not be published. Required fields are marked *