Cosa rivela l'incidente di Stryker sulla strategia d'attacco di Handala.
Leggi il blog

Cosa rivela l'incidente di Stryker sulla strategia d'attacco di Handala. Leggi il blog →

Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Sintesi dell'analisi dell'attacco

Analisi di un attacco "Living off the Land" (LotL)

In questa Volt Typhoon , i difensori sono stati messi alla prova quando l'autore dell'attacco ha sfruttato ogni mezzo a sua disposizione — tecniche di comando e controllo, attacchi di tipo "password spray" e tentativi di forza bruta — per eludere il rilevamento e sfruttare le risorse locali su diverse superfici di attacco ibride. Grazie all'elevata efficacia dei segnali di minaccia, gli analisti della sicurezza sapevano esattamente dove concentrare i propri sforzi.

Analisi di un attacco "Living off the Land" (LotL)
Seleziona la lingua per scaricare
Scarica
Accesso
Sintesi dell'analisi dell'attacco
Grazie per il download!
Accedi qui sotto alla tua offerta gratuita.
Scarica
Scarica
Scarica in francese
Scarica in tedesco
Scarica in spagnolo
Scarica in giapponese
Scarica in italiano

Che cos'è un attacco LOTL?

Gli attacchi "Living off the Land" (LOTL) sono una strategia di attacco informatico furtiva in cui gli aggressori sfruttano strumenti e processi legittimi già presenti nell'ambiente dell'utente per compiere attività dannose. Anziché ricorrere al malware tradizionale malware a file sospetti, gli aggressori utilizzano file binari nativi, script o strumenti amministrativi affidabili — ovvero quelli che fanno parte del sistema operativo o dell'ambiente software dell'utente — rendendo l'attacco più difficile da individuare.

Chi ricorre agli attacchi LOTL?

Gli attacchi LOTL sono spesso utilizzati dai gruppi di ransomware, come Black Basta, per un motivo ben preciso: sono difficili da individuare. Poiché gli aggressori utilizzano strumenti già esistenti, le loro azioni non vengono segnalate dai endpoint e risposta endpoint (EDR) e da altri strumenti di prevenzione. Non c'è codice dannoso né malware, il che rende facile per l'autore dell'attacco mimetizzarsi e difficile per te individuare modelli insoliti. L'uso di strumenti di uso quotidiano fa sì che gli attacchi LotL spesso sembrino normali attività degli utenti.

Come funzionano gli attacchi LOTL?

Gli attacchi LOTL sono particolarmente efficaci nel nascondersi e possono muoversi all'interno dei data center, cloud e delle infrastrutture di gestione delle identità per lunghi periodi di tempo. Un tipico attacco LOTL si svolge più o meno in questo modo:

  1. Ottenere l'accesso: gli hacker ottengono l'accesso iniziale tramite phishing, sfruttando le vulnerabilità o con altri mezzi.
  1. Utilizzo degli strumenti integrati: una volta penetrato nel sistema, l'autore dell'attacco ricorre a strumenti di sistema legittimi quali PowerShell, Windows Management Instrumentation (WMI) o i comandi della shell Unix/Linux. Si tratta di strumenti considerati affidabili e che solitamente non vengono segnalati dai sistemi di sicurezza.
  1. Esecuzione di comandi dannosi: l'autore dell'attacco utilizza quindi i sistemi presi di mira per eseguire comandi dannosi. Ad esempio, PowerShell può essere utilizzato per scaricare ed eseguire script dannosi direttamente dalla memoria, aggirando i meccanismi di rilevamento basati sul disco.
  1. Spostamento laterale: senza essere individuato , l'autore dell'attacco utilizza tecniche LOTL per spostarsi lateralmente all'interno della rete, accedere a dati sensibili e, a seconda dei casi, sottrarli o preparare l'ambiente per attacchi distruttivi come il ransomware.

Tra gli strumenti più comuni di LotL figurano:

  • PowerShell: questo potente linguaggio di scripting e framework della shell in Windows può essere sfruttato per eseguire script nelle diverse fasi di un attacco.
  • Windows Management Instrumentation (WMI): spesso utilizzata per la gestione remota, questa infrastruttura può essere sfruttata per il movimento laterale o per l'esecuzione di comandi da remoto.
  • PsExec: questo strumento legittimo a riga di comando, utilizzato per eseguire processi su altri sistemi, viene spesso sfruttato dagli autori degli attacchi LOTL per il movimento laterale.
  • MSHTA: uno strumento di Windows che esegue file HTA (HTML Application); può essere utilizzato in modo improprio per eseguire script dannosi.
  • CertUtil: uno strumento da riga di comando di Windows per la gestione dei certificati, che può essere utilizzato in modo improprio per scaricare file.

Come contrastare gli attacchi LOTL

Gli attacchi LOTL non vengono rilevati dagli strumenti di prevenzione tradizionali: il vostro team di sicurezza ha bisogno di una strategia avanzata di ricerca delle minacce per individuare gli attacchi occulti che si confondono con il rumore di fondo delle attività quotidiane.

Vectra AI l'analisi comportamentale per distinguere gli avvisi di routine dagli eventi di sicurezza reali e per identificare comportamenti facilmente trascurabili che sono tipici degli attacchi LotL. I sistemi di rilevamento avanzati basati sull'intelligenza artificiale individuano le tattiche LotL più comuni, tra cui:

Ad esempio, in un attacco simulato sferrato tramite un ufficio domestico compromesso:

  • L'autore dell'attacco ha cercato di raccogliere informazioni sul disco locale e sulle credenziali per riuscire a passare inosservato. 
  • Muovendosi su diverse piattaforme, l'aggressore ha raccolto ulteriori informazioni per avanzare e coprire le proprie tracce.
  • Nonostante queste tecniche furtive, Vectra AI , analizzare, classificare, correlare e convalidare l'attività di attacco prima che l'autore dell'attacco potesse portarla a termine.

Scopri come Vectra AI un attacco LOTL

Come si fa a smascherare un autore di attacchi altamente qualificato che utilizza tecniche LOTL invisibili? Abbiamo simulato un Volt Typhoon per scoprirlo. Scarica l'analisi dettagliata dell'attacco per scoprire come i difensori possono bloccare un attacco LOTL sponsorizzato dallo Stato che altri sistemi di sicurezza non sono riusciti a individuare.

Volt Typhoon di attacco "living off the land".
Scarica

Scelto da esperti e aziende di tutto il mondo

Domande frequenti