El 84% de los ataques más graves son de tipo Living-Off-the-Land

Los ciberataques llamados Living-Off-the-Land (LOTL) se basan en el uso de aplicaciones y herramientas ya instaladas en los sistemas para poder enmascarar su actividad. Para evaluar el impacto de esta técnica, Bitdefender analizó 700.000 incidentes de seguridad en los que trabajó su plataforma GravityZone, teniendo en cuenta toda la cadena de comando para ver con qué frecuencia se utiliza este método.

El resultado de este análisis es que el 84% de los incidentes más graves se basaron en Living-Off-the-Land. Junto a la revisión de los incidentes en la plataforma GravityZone, Bitdefender comprobó también los datos de su MDR (detección y respuesta gestionada), que presentaba un porcentaje casi idéntico: el 85% de los incidentes tenían que ver con técnicas LOTL.

Las herramientas utilizadas son parte importante del sistema operativo Windows, por lo que simplemente desactivarlas no es una opción. La propuesta de Bitdefender pasa por reforzar el endpoint de forma individualizada, utilizando controles basados en acciones. Esta es la base de la solución de la compañía GravityZone Proactive Hardening and Attack Surface Reduction (PHASR).

La herramienta más explotada para este fin es Netsh.exe, que se utiliza legítimamente para la gestión de la red, lo que incluye los firewalls, seguida por PowerShell. Según los datos de Bitdefender, esta última se utiliza de forma legítima en el 96% de las organizaciones. Sin embargo, según su análisis en el 73% de los endpoints en todo el mundo (97,3% en EMEA) esta herramienta tiene una actividad mucho mayor de lo esperado, lo que podría ser una señal de ataques LOTL.