Imagina que un ladrón pudiera usar las propias herramientas de mantenimiento de tu casa para desactivar las cámaras de seguridad. Esto es exactamente lo que está sucediendo en el mundo digital con una técnica llamada “Living Off the Land” (Vivir de la Tierra), donde los atacantes utilizan herramientas legítimas del sistema para realizar actividades maliciosas.
¿Qué está pasando?
Se ha identificado que los atacantes están utilizando wevtutil.exe, una herramienta legítima de Windows diseñada para gestionar los registros (logs) del sistema, como arma para:
- Borrar sus huellas
- Robar información
- Espiar la actividad del sistema
Esta técnica forma parte de lo que los expertos llaman LOLBAS (Living Off the Land Binaries and Scripts), que significa usar programas legítimos del sistema para fines maliciosos.
¿Por qué es peligroso?
- Es difícil de detectar
- Es como si un intruso usara tus propias llaves para entrar
- Los antivirus no lo detectan porque es una herramienta legítima
- No requiere instalar software malicioso
- Puede borrar evidencias
- Los atacantes pueden eliminar los registros de sus actividades
- Es como borrar las grabaciones de las cámaras de seguridad
- En muchos casos, no deja rastros de que algo fue borrado
- Permite robar información
- Pueden extraer información sensible de los logs
- Facilita el espionaje de la actividad del sistema
- Ayuda a planear ataques más sofisticados
¿Cómo funciona el ataque?
Los atacantes utilizan comandos simples pero efectivos. Por ejemplo:
powershellCopywevtutil cl Application
Este comando borra todos los registros de aplicaciones, eliminando evidencia de actividades sospechosas.
powershellCopywevtutil qe Security /f:xml > logs.xml
Este comando exporta todos los registros de seguridad, permitiendo al atacante analizar la información sensible.
¿Cómo proteger tu sistema?
1. Implementa una estrategia de logs centralizada
- Configura un servidor central para almacenar copias de todos los logs
- Es como tener un respaldo de las grabaciones de seguridad en otra ubicación
- Si los atacantes borran los logs locales, aún tendrás las copias
2. Monitorea el uso de wevtutil.exe
- Configura alertas cuando se use esta herramienta
- Presta especial atención a comandos de borrado (cl) y exportación (qe)
- Documenta quién debería usar esta herramienta y cuándo
3. Controla los privilegios de administrador
- Limita quién puede usar herramientas administrativas
- Implementa el principio de mínimo privilegio
- Audita regularmente los permisos de usuarios
Pasos inmediatos para protegerte
- Revisa tus logs
- Verifica si hay gaps o espacios vacíos sospechosos
- Busca patrones inusuales de borrado de logs
- Documenta el uso normal de wevtutil.exe
- Configura alertas
- Crea notificaciones para uso inusual de wevtutil.exe
- Establece un sistema de monitoreo 24/7
- Define procedimientos de respuesta
- Actualiza políticas
- Establece quién puede usar herramientas administrativas
- Define procesos para la gestión de logs
- Capacita al personal sobre estas amenazas
Conclusión
La seguridad moderna requiere estar atentos no solo a software malicioso obvio, sino también al uso malicioso de herramientas legítimas. Wevtutil.exe es solo un ejemplo de cómo los atacantes están evolucionando sus tácticas para ser más sigilosos.
¿Qué hacer ahora?
- Revisa quién tiene acceso administrativo en tus sistemas
- Implementa un sistema de logs centralizado si aún no lo tienes
- Capacita a tu equipo sobre estas nuevas amenazas
Referencias
- Análisis detallado: Denwp Research
- Documentación de Microsoft sobre Windows Event Logs
- Guías de seguridad de MITRE ATT&CK
Deja una respuesta