NordDragonScan es un software malicioso diseñado para robar información, un grupo de investigadores descubrieron recientemente que también está atacando el sistema Windows, usan técnicas conocidas como Living Off The Land (LOTL)
¿Qué son técnicas LOTL?
Esto es un tipo de técnica utilizada por lo cibercriminales y aprovecha a utilizar las herramientas legitimas del sistema operativo o software instalado para lograr ejecutar acciones maliciosas, en lugar de instalar algún software extra como troyanos o rootkits.
¿Qué les permite el utilizar software legitimo?
Pueden evadir los antivirus o EDR ya que utilizan binarios que el sistema considera confiables.
Esto les permite pasar más tiempo desapercibidos.
También pueden reducir rastros forenses.
¿Cuáles son las herramientas comunes utilizadas en LOTL?
Comúnmente el atacante utiliza el software de la empresa que desea atacar, pero dentro de las herramientas más utilizadas para hacer esto serian:
PowerShell, esta es una consola de automatización y generalmente es utilizada para descargar malware malicioso, ejecutar scripts o robar información.
Mashta.exe se encarga de ejecutar archivos HTML aplications(.hta) y los cibercriminales la llegar a utilizar para ejecutar scripts remotos desde internet como en NordDragonScan.
CMD.exe siendo la consola de comando tradicional, puede ejecutar instrucciones y scripts.
¿Hacia dónde se dirigen los cibercriminales?
Algunos investigadores encontraron varios documentos que venían en idioma ucraniano, esto puede ser un indicador que la empresa se dirige a diversas victimas del mismo país.
¿Cómo protegerse contra ataques LOTL?
Se puede bloquear el uso de mshta.ese y rundll32.exe, etc. Si en caso no llegasen a ser necesarios.
Segmentar las redes, como aislar máquinas que sean vulnerables y así evitar movimientos laterales por parte de los cibercriminales.
El aplicar los principios de minio privilegio es crucial, se le pueden colocar únicamente los permisos que el usuario necesita y no algo extra ya que cuentas con estas limitaciones evita el impacto de estas herramientas.
Usar EDRs que tengan la capacidad de detectar comportamientos y no solo archivos maliciosos.
