Skip to main content

Living Off The Land (LotL) Attack

Un ataque "Living off the Land" (LotL) es una técnica de ciberataque que consiste en utilizar herramientas, scripts, comandos y funcionalidades nativas o preinstaladas en un sistema o aplicación comprometidos para llevar a cabo la ejecución del ataque. Esta técnica se conoce como "vivir de la tierra" porque los atacantes aprovechan los recursos disponibles en la máquina comprometida para llevar a cabo su ataque sin necesidad de descargar software malicioso adicional o instalar herramientas adicionales.
Los atacantes utilizan esta técnica porque les permite evitar la detección de soluciones de seguridad que buscan archivos o procesos maliciosos. Además, los ataques LotL suelen ser más difíciles de detectar porque las herramientas y comandos utilizados para llevar a cabo el ataque son comunes en el sistema y, por lo tanto, pueden pasar desapercibidos.
Los ataques LotL pueden incluir la ejecución de scripts, comandos de línea de comandos, herramientas de administración del sistema, bibliotecas y módulos incorporados en el sistema, entre otros. Algunos ejemplos comunes de herramientas de LotL son PowerShell, WMI, certutil, bitsadmin y regsvr32. Estas herramientas pueden ser utilizadas para descargar, ejecutar y controlar el malware en la máquina comprometida.
Es importante tener en cuenta que los ataques LotL no son técnicas de explotación en sí mismos, sino más bien técnicas de persistencia, lateralidad y evasión que los atacantes utilizan para extender su control sobre los sistemas comprometidos y llevar a cabo otros tipos de ataques, como el robo de datos o el cifrado de archivos.
Para protegerse contra los ataques LotL, es importante implementar medidas de seguridad como la restricción del uso de ciertas herramientas y comandos, la monitorización del uso de las herramientas y comandos nativos, la aplicación de parches de seguridad y el fortalecimiento de las políticas de contraseñas y permisos. Además, es importante implementar soluciones de seguridad avanzadas que puedan detectar patrones de comportamiento malicioso y actividad anómala en el sistema.