Los ataques del tipo Living off the Land, que utilizan programas legítimos o características del sistema operativo para causar daños, no son nada nuevo, pero, dado que los expertos ya realizan un seguimiento del software actual susceptible a LotL, los cibercriminales se han visto obligados a innovar. Los investigadores Jean-Ian Boutin y Zuzana Hromcova hablaron sobre una de esas innovaciones, el uso de componentes y programas legítimos de Windows XP, en la conferencia RSA 2021.
Living off the Land y los componentes vulnerables de Windows XP
Al estudiar la actividad del grupo InvisiMole, Boutin y Hromcova observaron que el hecho de que las herramientas de InvisiMole usen archivos del sistema operativo obsoleto les ayuda a permanecer fuera del radar. Los investigadores denominaron a esos archivos VULNBins, similar a LOLBins, que la comunidad de seguridad aplica a los archivos utilizados en los ataques Living off the Land.
Por supuesto, descargar un archivo desactualizado en la computadora de la víctima requiere acceso al equipo. Pero los VULNBins se utilizan generalmente para establecer la permanencia en un sistema específico sin ser percibido, no para la penetración real.
Ejemplos específicos del uso de programas y componentes de sistemas obsoletos
Si un atacante no logra obtener los derechos de administrador, una táctica que puede usar para establecer la permanencia implica el uso de un reproductor de video antiguo con una vulnerabilidad conocida de desbordamiento de búfer. A través del Programador de tareas, los cibercriminales crean una tarea programada regularmente que convoca al reproductor, cuyo archivo de configuración ha sido modificado para aprovechar la vulnerabilidad, para cargar el código necesario para la siguiente etapa del ataque.
Sin embargo, si los atacantes de InvisiMole logran obtener los derechos de administrador, pueden implementar otro método que utilice el componente legítimo del sistema setupSNK.exe, la biblioteca de Windows XP wdigest.dll y Rundll32.exe (también del sistema obsoleto), necesarios para ejecutar la biblioteca. Luego manipulan los datos que la biblioteca carga en la memoria y, como esta fue creada antes de la aplicación de la tecnología ASLR, los cibercriminales conocen la dirección exacta de la memoria en la que se cargarán los datos.
Almacenan la mayor parte de la carga útil maliciosa en el registro en forma cifrada y todas las bibliotecas y ejecutables que utilizan son legítimas. Por tanto, lo único que podría delatar la presencia de un enemigo en su interior es el archivo con la configuración del reproductor y el pequeño exploit que se ocupa de las bibliotecas obsoletas. Como regla general, esto no es suficiente para despertar la sospecha de un sistema de seguridad.
Cómo protegerse
Para evitar que los cibercriminales utilicen archivos antiguos y componentes del sistema obsoletos (especialmente los firmados por un editor legítimo), tener una base de datos de dichos archivos sería un buen comienzo, ya que permitiría que las defensas existentes los bloquearan o al menos los rastrearan (si el bloqueo no fuera es posible). Pero eso adelantarse.
Hasta que exista dicha lista, utiliza nuestra solución de clase EDR para:
- Detectar y bloquear la ejecución de componentes de Windows ubicados fuera de la carpeta del sistema.
- Identificar archivos de sistema sin firmar (algunos archivos de sistema están firmados con un archivo de catálogo en lugar de una firma digital única, pero un archivo de sistema movido a un sistema que carece del archivo .cat requerido se considera sin firmar).
- Crear una regla para detectar la diferencia entre la versión del sistema operativo y la versión de cada archivo ejecutable.
- Crear una regla similar para otras aplicaciones, por ejemplo, para bloquear la ejecución de archivos compilados hace más de 10 años.
Como ya hemos comentado, para descargar algo en la computadora de una víctima, los atacantes primero deben obtener el acceso. Para evitar que los VULNBins lleguen a tus estaciones de trabajo, instala soluciones de seguridad en todos los dispositivos habilitados con Internet, invierte en la concienciación de tus empleados en materia de ciberamenazas actuales y supervisa de cerca las herramientas de acceso remoto.