Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Breve analisi dell'attacco

Anatomia di un attacco Living off the Land (LotL)

In questa Volt Typhoon , i difensori sono stati messi alla prova quando l'autore della minaccia ha utilizzato tutti i mezzi a sua disposizione (tecniche di comando e controllo, tecniche di password spray e tentativi di forza bruta) per eludere il rilevamento e sfruttare le risorse disponibili su più superfici di attacco ibride. Grazie all'elevata efficacia dei segnali di minaccia, gli analisti della sicurezza sapevano esattamente dove concentrare i propri sforzi.

Anatomia di un attacco Living off the Land (LotL)
Seleziona la lingua per scaricare
Scarica
Accesso
Breve analisi dell'attacco
Grazie per aver scaricato!
Accedi alla tua offerta gratuita qui sotto.
Scarica
Scarica
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Che cos'è un attacco LOTL?

Gli attacchi Living off the Land (LOTL) sono una strategia di attacco informatico furtiva in cui gli aggressori sfruttano strumenti e processi legittimi già presenti nell'ambiente dell'utente per svolgere attività dannose. Anziché affidarsi a malware tradizionali malware file sospetti, gli aggressori utilizzano binari nativi affidabili, script o strumenti amministrativi, che fanno parte del sistema operativo o dell'ambiente software dell'utente, rendendo l'attacco più difficile da rilevare.

Chi usa gli attacchi LOTL?

Gli attacchi LOTL sono spesso utilizzati dai gruppi di ransomware, come Black Basta, per un motivo: sono difficili da rilevare. Poiché gli aggressori utilizzano strumenti esistenti, le azioni non vengono segnalate endpoint and response (EDR) e da altri strumenti di prevenzione. Non essendoci codice dannoso né malware, è facile per l'autore dell'attacco mimetizzarsi e difficile per voi individuare modelli insoliti. L'uso di strumenti di uso quotidiano fa sì che gli attacchi LotL spesso sembrino normali attività degli utenti.

Come funzionano gli attacchi LOTL?

Gli attacchi LOTL sono particolarmente efficaci nel nascondersi e possono muoversi attraverso data center, cloud e superfici di identità per lunghi periodi di tempo. Un tipico attacco LOTL si presenta più o meno così:

  1. Accesso: gli aggressori ottengono l'accesso iniziale tramite phishing, sfruttando le vulnerabilità o altri mezzi.
  1. Utilizzo di strumenti integrati: una volta entrato nel sistema, l'autore dell'attacco utilizza strumenti di sistema legittimi come PowerShell, Windows Management Instrumentation (WMI) o comandi shell Unix/Linux. Questi strumenti sono affidabili e in genere non vengono segnalati dalle misure di sicurezza.
  1. Esecuzione di comandi dannosi: l'autore dell'attacco utilizza quindi i sistemi presi di mira per eseguire comandi dannosi. Ad esempio, PowerShell può essere utilizzato per scaricare ed eseguire script dannosi direttamente dalla memoria, aggirando i meccanismi di rilevamento basati su disco.
  1. Muoversi lateralmente: senza essere rilevato , l'aggressore utilizza tecniche LOTL per muoversi lateralmente all'interno della rete, accedere a dati sensibili e sottrarli o preparare l'ambiente per attacchi distruttivi come il ransomware.

Esempi di strumenti LotL comuni includono:

  • PowerShell: questo potente linguaggio di scripting e framework shell in Windows può essere sfruttato per eseguire script in varie fasi di attacco.
  • Windows Management Instrumentation (WMI): spesso utilizzata per la gestione remota, questa infrastruttura può essere sfruttata per il movimento laterale o l'esecuzione di comandi da remoto.
  • PsExec: questo strumento legittimo da riga di comando, utilizzato per eseguire processi su altri sistemi, viene spesso sfruttato dagli autori degli attacchi LOTL per il movimento laterale.
  • MSHTA: uno strumento Windows che esegue file HTML Application (HTA) e che può essere utilizzato in modo improprio per eseguire script dannosi.
  • CertUtil: uno strumento da riga di comando di Windows per la gestione dei certificati, che può essere utilizzato in modo improprio per scaricare file.

Come contrastare gli attacchi LOTL

Gli attacchi LOTL non vengono rilevati dagli strumenti di prevenzione tradizionali: il tuo team di sicurezza ha bisogno di una strategia avanzata di ricerca delle minacce per scoprire gli attacchi furtivi che si confondono con il rumore delle attività quotidiane.

Vectra AI l'analisi comportamentale per separare gli avvisi quotidiani dagli eventi di sicurezza reali e per identificare comportamenti facili da trascurare che sono caratteristici degli attacchi LotL. I rilevamenti avanzati basati sull'intelligenza artificiale si concentrano sulle tattiche LOTL più comuni, tra cui:

Ad esempio, in un attacco simulato avviato tramite un ufficio domestico compromesso:

  • L'autore dell'attacco ha tentato di raccogliere informazioni sul disco locale e sulle credenziali per non essere scoperto. 
  • Muovendosi su più superfici, l'aggressore ha raccolto ulteriori informazioni per avanzare e nascondere le proprie tracce.
  • Nonostante queste tecniche furtive, Vectra AI , analizzato, classificato, correlato e convalidato l'attività di attacco prima che l'autore riuscisse a portarla a termine.

Scopri come Vectra AI un attacco LOTL

Come si fa a stare al passo con un autore di minacce altamente qualificato che utilizza tecniche LOTL furtive? Abbiamo simulato un Volt Typhoon per scoprirlo. Scarica l'analisi dell'attacco per scoprire come i difensori possono fermare un attacco LOTL sponsorizzato dallo Stato che altre tecnologie non sono riuscite a individuare.

Volt Typhoon di attacco che sfrutta le vulnerabilità del sistema.

Apprezzato da esperti e aziende in tutto il mondo

Domande frequenti