Living Off The Land: el enemigo no trae malware, usa tu propio Windows
Los incidentes más complejos no comienzan con binarios sospechosos. Comienzan con PowerShell, WMIC, Certutil y otras herramientas legítimas firmadas por Microsoft. Mapeo completo con MITRE ATT&CK.
Sin malware, sin alertas
Muchos de los incidentes más complejos que vemos hoy no comienzan con binarios sospechosos.
Comienzan con herramientas legítimas, firmadas por Microsoft y permitidas en casi todos los entornos corporativos.
Eso es Living Off The Land (LoL): el abuso de utilidades nativas de Windows para ejecutar, moverse lateralmente y persistir sin levantar alertas tradicionales.
Cómo lo están haciendo realmente
PowerShell — Ejecución en memoria
- Scripts ejecutados sin tocar disco
IEX+DownloadStringpara cargar payloads remotos-EncodedCommanden Base64 para evadir detección y logging superficial
PowerShell es la herramienta LoL más versátil: permite reconocimiento, descarga, ejecución, persistencia y exfiltración, todo sin salir del ecosistema Windows.
WMIC — Movimiento lateral silencioso
- Ejecución remota de procesos en otros hosts
- Reconocimiento y persistencia usando una herramienta “permitida”
- Ideal en entornos restringidos donde RDP está bloqueado
WMIC opera sobre protocolos legítimos de administración Windows, haciéndolo prácticamente invisible para controles basados en firmas.
Certutil — Malware disfrazado de texto
- Descarga de payloads vía
-urlcache - Reconstrucción de binarios usando
-decode - Todo firmado por Microsoft, todo aparentemente legítimo
Certutil fue diseñado para gestión de certificados. Los atacantes lo usan como downloader y decoder universal.
Mshta — Scripts sin archivos
- Ejecución directa de HTA remotos
- JavaScript/VBScript inline invocando PowerShell
- Sin archivos intermedios, sin artefactos clásicos
Rundll32 — DLLs como puerta trasera
- Carga de DLLs maliciosas
- Abuso de DLLs legítimas (ej.
url.dll) para ejecutar contenido remoto - Bypass de controles de ejecución de aplicaciones
Schtasks — Persistencia “corporativa”
- Tareas programadas con nombres creíbles
- Ejecución en login o en horarios definidos
- Persistencia limpia, estable y difícil de detectar
Mapeo MITRE ATT&CK
| Herramienta | Técnica MITRE | Fase |
|---|---|---|
| PowerShell | T1059.001 | Execution |
| WMIC | T1047 | Execution, Lateral Movement |
| Certutil | T1105, T1140 | Ingress Tool Transfer, Deobfuscation |
| Mshta | T1218.005 | Defense Evasion |
| Rundll32 | T1218.011 | Defense Evasion |
| Schtasks | T1053.005 | Persistence |
Por qué la defensa tradicional falla
Si tu estrategia defensiva sigue basada solo en:
- Antivirus basado en firmas
- Bloqueo de ejecutables desconocidos
- IOCs estáticos
LoL la atraviesa completamente. Porque no hay archivos maliciosos que detectar. Todo es “legítimo”.
Qué exige la defensa contra LoL
Detección basada en comportamiento
No buscar archivos maliciosos — buscar comportamientos anómalos en herramientas legítimas:
- PowerShell ejecutando
DownloadStringa las 3 AM - WMIC creando procesos en hosts remotos fuera de horario
- Certutil descargando archivos de URLs externas
Telemetría profunda
Logging detallado de:
- Ejecución de PowerShell (ScriptBlock Logging, Transcription)
- Creación de procesos (Sysmon Event ID 1)
- Conexiones de red por proceso
- Tareas programadas creadas o modificadas
- Eventos WMI
Threat-Informed Defense
Usar MITRE ATT&CK para mapear las técnicas LoL más relevantes para tu entorno y diseñar detecciones específicas.
Gobierno de herramientas administrativas
Políticas claras sobre:
- Quién puede usar PowerShell en modo sin restricciones
- Dónde está permitido WMIC
- Qué herramientas administrativas están habilitadas en qué endpoints
La pregunta para tu SOC
La pregunta real no es si estas herramientas están permitidas.
La pregunta es: ¿sabes cuándo, cómo y por qué se están usando?