Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Bollettino dei cyberattacchi: Difesa contro il ransomware Codefinger in AWS S3

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Anatomia dell'attacco

Anatomia di un attacco di Living off the Land (LotL)

In questa simulazione di Volt Typhoon , i difensori sono stati messi alla prova quando l'attore della minaccia ha usato tutto ciò che era in suo potere - tecniche di comando e controllo, tecniche di spruzzatura delle password e tentativi di forza bruta - per eludere il rilevamento e vivere sul territorio attraverso molteplici superfici di attacco ibride. Grazie alla massima efficacia del segnale di minaccia, gli analisti della sicurezza sapevano esattamente dove concentrare gli sforzi.

Anatomia di un attacco di Living off the Land (LotL)
Anatomia di un attacco di Living off the Land (LotL)
Selezionare la lingua da scaricare
Scaricare
Rapporto di accesso
Grazie per il download!
Accedete alla vostra offerta gratuita qui sotto.
Scaricare
Scaricare
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Che cos'è un attacco LOTL?

Gli attacchi LOTL (Living off the Land) sono una strategia di cyberattacco furtiva in cui gli aggressori sfruttano strumenti e processi legittimi già presenti nel vostro ambiente per svolgere attività dannose. Invece di affidarsi al malware tradizionale o a file sospetti, gli aggressori utilizzano binari, script o strumenti amministrativi nativi affidabili, che fanno parte del sistema operativo o dell'ambiente software, rendendo l'attacco più difficile da rilevare.

Chi utilizza gli attacchi LOTL?

Gli attacchi LOTL sono spesso utilizzati da gruppi di ransomware, come ad esempio Black Bastaper un motivo: Sono difficili da rilevare. Poiché gli aggressori utilizzano strumenti esistenti, le azioni non vengono segnalate dal rilevamento e dalla risposta endpoint (EDR) e da altri strumenti di prevenzione. Non c'è codice dannoso né malware, il che rende facile per l'attaccante mimetizzarsi e difficile per voi individuare schemi insoliti. L'uso di strumenti di uso quotidiano fa sì che gli attacchi LotL spesso appaiano come normali attività dell'utente.

Come funzionano gli attacchi LOTL?

Gli attacchi LOTL si nascondono bene e possono spostarsi su data center, cloud e superfici di identità per lunghi periodi di tempo. Un tipico attacco LOTL si presenta in questo modo:

  1. Ottenere l'accesso: Gli aggressori ottengono l'accesso iniziale tramite phishingsfruttando le vulnerabilità o con altri mezzi.
  1. Utilizzo di strumenti integrati: Una volta entrato, l'aggressore utilizza strumenti di sistema legittimi come PowerShell, Windows Management Instrumentation (WMI) o comandi di shell Unix/Linux. Questi strumenti sono affidabili e in genere non vengono segnalati dalle misure di sicurezza.
  1. Eseguire comandi dannosi: L'aggressore utilizza quindi i sistemi mirati per eseguire comandi dannosi. Ad esempio, PowerShell può essere utilizzato per scaricare ed eseguire script dannosi direttamente dalla memoria, aggirando i meccanismi di rilevamento su disco.
  1. Muoversi lateralmente: Inosservato, l'aggressore utilizza le tecniche LOTL per spostarsi lateralmente all'interno della rete, accedere ai dati sensibili ed esfiltrare i dati o preparare l'ambiente per attacchi distruttivi come il ransomware.

Esempi di strumenti LotL comuni sono:

  • PowerShell: Questo potente linguaggio di scripting e framework di shell di Windows può essere sfruttato per eseguire script per varie fasi di attacco.
  • Strumentazione di gestione di Windows (WMI): Spesso utilizzata per la gestione remota, questa infrastruttura può essere sfruttata per movimenti laterali o per l'esecuzione di comandi in remoto.
  • PsExec: Questo strumento a riga di comando legittimo, utilizzato per eseguire processi su altri sistemi, viene spesso sfruttato dagli aggressori LOTL per il movimento laterale.
  • MSHTA: uno strumento di Windows che esegue file di applicazioni HTML (HTA) e che può essere sfruttato per eseguire script dannosi.
  • CertUtil: Uno strumento a riga di comando di Windows per la gestione dei certificati, che può essere usato impropriamente per scaricare file.

Come contrastare gli attacchi LOTL

Gli attacchi LOTL non vengono rilevati dagli strumenti di prevenzione tradizionali: il team di sicurezza ha bisogno di una strategia di threat hunting avanzata per scoprire gli attacchi furtivi che si confondono con il rumore delle attività quotidiane.

Vectra AI utilizza l'analisi comportamentale per separare gli avvisi quotidiani dagli eventi di sicurezza reali e per identificare i comportamenti facili da ignorare che sono caratteristici degli attacchi LOTL. I rilevamenti avanzati basati sull'intelligenza artificiale si concentrano sulle tattiche LOTL più comuni, tra cui:

Ad esempio, in un attacco simulato iniziato attraverso un ufficio domestico compromesso:

  • L'aggressore ha cercato di raccogliere informazioni sulle unità locali e sulle credenziali per passare inosservato. 
  • Muovendosi su più superfici, l'attaccante ha raccolto ulteriori informazioni per avanzare e nascondere le proprie tracce.
  • Anche con queste tecniche furtive, Vectra AI ha rilevato, analizzato, gestito, correlato e convalidato l'attività di attacco, prima che l'aggressore fosse in grado di eseguirlo.

Scopri come Vectra AI ha fermato un attacco LOTL

Come si fa a raggiungere un attore altamente qualificato che utilizza tecniche LOTL furtive? Abbiamo simulato un attacco Volt Typhoon per scoprirlo. Scaricate l'anatomia dell'attacco per vedere come i difensori possono fermare un attacco LOTL sponsorizzato dallo Stato che altri tecnici non hanno notato.

Volt Typhoon esempio di attacco alla terraferma.

Fiducia da parte di esperti e aziende di tutto il mondo

DOMANDE FREQUENTI