® 
Living off the Land (LotL)
Definicion
Living off the Land es una tecnica de ataque en la que los atacantes usan herramientas legitimas ya presentes en el sistema objetivo en lugar de instalar su propio malware.
Living off the Land (LotL) es una tecnica de ataque en la que los atacantes utilizan exclusivamente herramientas y software legitimos ya presentes en el sistema objetivo en lugar de instalar su propio malware. Esto hace la deteccion extremadamente dificil porque las herramientas utilizadas son componentes estandar del sistema. Segun CrowdStrike, el 75% de todos los ataques avanzados emplean tecnicas LotL.
Como funciona Living off the Land?
El atacante utiliza herramientas nativamente presentes en sistemas Windows y Linux: PowerShell, WMI, PsExec, certutil, mshta, Task Scheduler, WMIC y cmd.exe. Estas herramientas estan disenadas para la administracion legitima del sistema pero pueden abusarse para descargar payloads, ejecutar codigo remoto, robar credenciales, escalar privilegios y establecer persistencia.
Herramientas LotL comunes
PowerShell puede descargar y ejecutar scripts desde memoria sin escribir archivos en disco (malware sin archivos). WMI ejecuta codigo en sistemas remotos. Certutil descarga archivos simulando ser una herramienta de gestion de certificados. Task Scheduler crea tareas programadas para persistencia.
Impacto para las organizaciones
Los ataques LotL son especialmente efectivos contra organizaciones que solo dependen de deteccion basada en firmas. Los grupos APT usan LotL como practica estandar para permanecer bajo el radar. Los operadores de ransomware usan LotL en fases de reconocimiento y propagacion. Distinguir la actividad de administracion legitima del uso malicioso de las mismas herramientas es el desafio central.
Proteccion
Las soluciones EDR con analisis de comportamiento son esenciales. Monitorice la ejecucion de PowerShell y registre todos los scripts. Restrinja herramientas de administracion mediante listas blancas de aplicaciones. Implemente registro detallado de WMI y gestion remota.
Como ayuda DEFION
DEFION emplea tecnicas LotL como parte de Red Teaming para probar si las capacidades de deteccion de la organizacion reconocen ataques LotL.