Attacchi LOTL (Living Off the Land ): Cosa devono sapere i team di sicurezza

Nel 2024, l'incredibile 84% degli attacchi informatici ad alta gravità sfrutterà strumenti di sistema legittimi piuttosto che malware personalizzati, segnando un cambiamento fondamentale nel panorama delle minacce. Gli attacchi LOTL (Living off the land) si sono evoluti da tecnica avanzata a metodologia dominante sia per gli attori nazionali che per i gruppi di criminali informatici. L'attrattiva è chiara: questi attacchi sfruttano gli stessi strumenti su cui le organizzazioni fanno affidamento per l'amministrazione legittima, rendendo il rilevamento straordinariamente difficile e richiedendo un investimento minimo da parte degli aggressori.

I team di sicurezza devono affrontare una sfida senza precedenti. Quando PowerShell, Windows Management Instrumentation (WMI) e altri strumenti amministrativi diventano armi, gli approcci di sicurezza tradizionali falliscono. La recente campagna Volt Typhoon ha mantenuto un accesso non rilevato alle infrastrutture critiche per oltre cinque anni, dimostrando il potenziale devastante di queste tecniche. Questa realtà richiede un ripensamento completo delle strategie di rilevamento e prevenzione, andando oltre gli approcci basati sulle firme per passare all'analisi comportamentale e ai principi di zero trust .

Cosa significa vivere della terra?

Living off the land è una tecnica di cyberattacco in cui gli attori delle minacce abusano di strumenti e funzionalità legittime del sistema operativo per condurre attività dannose, evitando di essere scoperti grazie al fatto che si confondono con le normali operazioni di sistema. Invece di distribuire malware personalizzato che potrebbe essere segnalato dagli strumenti di sicurezza, gli aggressori sfruttano binari e script affidabili già presenti sui sistemi di destinazione. Questo approccio riduce drasticamente la loro impronta digitale, massimizzando le capacità di furtività e persistenza.

L'efficacia degli attacchi LOTL deriva da una sfida fondamentale per la sicurezza: distinguere tra l'uso legittimo e quello dannoso degli strumenti amministrativi. Quando un amministratore di sistema utilizza PowerShell per gestire i server, sembra identico a un aggressore che utilizza lo stesso strumento per la ricognizione o il movimento laterale. Questa ambiguità crea punti ciechi di rilevamento che gli aggressori sfruttano senza pietà. Secondo una recente analisi, queste tecniche compaiono oggi nell'84% degli attacchi ad alta gravità, rappresentando un completo cambio di paradigma rispetto alle tradizionali intrusioni malware.

Anche se spesso confuso con il malware senza file, il LOTL rappresenta un sottoinsieme specifico incentrato esclusivamente sull'abuso di strumenti legittimi. malware fileless comprende qualsiasi attacco che eviti la scrittura su disco, compresi gli impianti di sola memoria e la persistenza basata sul registro. Gli attacchi LOTL, tuttavia, sfruttano specificamente i file binari e gli script di sistema affidabili, rendendoli particolarmente insidiosi. La distinzione è importante per le strategie di rilevamento, poiché le tecniche LOTL richiedono un'analisi comportamentale piuttosto che la tradizionale scansione dei file.

Le organizzazioni lottano contro gli attacchi LOTL perché questi armano le fondamenta stesse delle operazioni IT. Ogni sistema Windows include PowerShell, WMI e decine di altri strumenti amministrativi che non possono essere disabilitati senza compromettere le operazioni legittime. Questo crea un vantaggio asimmetrico per gli aggressori, che devono solo trovare modi creativi per abusare di questi strumenti, mentre i difensori devono proteggere ogni potenziale vettore.

I LOLBins spiegati

I binari Living Off the Land , o LOLBin, sono eseguibili di sistema legittimi che gli aggressori riutilizzano per attività dannose. Questi file binari vengono forniti con i sistemi operativi o con il software comunemente installato, sono dotati di firme digitali valide e svolgono funzioni amministrative legittime. La loro natura a doppio uso li rende strumenti di attacco perfetti, poiché il software di sicurezza di solito si fida implicitamente di loro. Il progetto LOLBAS documenta attualmente oltre 200 file binari di Windows che possono essere utilizzati per attacchi, con nuove tecniche scoperte regolarmente.

PowerShell domina il panorama LOLBin, comparendo nel 71% degli attacchi LOTL secondo recenti dati di telemetria. Le sue potenti capacità di scripting, le funzioni di esecuzione remota e l'accesso profondo al sistema ne fanno il coltellino svizzero degli aggressori. Oltre a PowerShell, WMI fornisce meccanismi di persistenza e capacità di movimento laterale, mentre strumenti come certutil.exe consentono di scaricare file e operazioni di codifica. Anche utility apparentemente innocue come bitsadmin.exe, progettate per gestire i trasferimenti in background, diventano armi per l'esfiltrazione furtiva dei dati.

La sofisticazione dell'abuso di LOLBin continua a evolversi man mano che gli aggressori scoprono nuove tecniche. Le campagne moderne concatenano più LOLBin, creando flussi di attacco complessi che rispecchiano flussi di lavoro amministrativi legittimi. Questa evoluzione riflette la maturità di LOTL come metodologia di attacco, passando dall'abuso di strumenti opportunistici a campagne attentamente orchestrate che sfruttano l'intero spettro delle utilità di sistema disponibili.

Come funzionano gli attacchi LOTL

Gli attacchi LOTL si sviluppano attraverso fasi attentamente orchestrate che rispecchiano le operazioni IT legittime, rendendo il rilevamento eccezionalmente difficile. Gli aggressori iniziano con l'accesso iniziale, spesso attraverso il phishing o lo sfruttamento delle vulnerabilità, per poi passare immediatamente all'utilizzo di strumenti legittimi per tutte le attività successive. Questa transizione segna il momento critico in cui il rilevamento tradizionale spesso fallisce, poiché le azioni dannose diventano indistinguibili dall'amministrazione di routine.

La fase iniziale di esecuzione sfrutta i processi affidabili per stabilire un punto d'appoggio. Gli aggressori potrebbero utilizzare PowerShell per scaricare script aggiuntivi, impiegare WMI per l'esecuzione di codice remoto o abusare di attività pianificate per la persistenza. Ogni azione utilizza binari firmati e legittimi di cui gli strumenti di sicurezza si fidano intrinsecamente. Questa relazione di fiducia diventa il fondamento dell'attacco, consentendo agli attori delle minacce di operare quasi impunemente mentre le difese tradizionali rimangono cieche.

I meccanismi di persistenza mostrano la creatività delle tecniche LOTL. Invece di installare malware tradizionale che potrebbe attivare gli avvisi, gli aggressori modificano attività pianificate legittime, creano sottoscrizioni a eventi WMI o manipolano le chiavi di esecuzione del registro. Queste modifiche si integrano perfettamente con le configurazioni di sistema esistenti, spesso sopravvivendo ai riavvii e persino ad alcuni tentativi di bonifica. La persistenza quinquennale della campagnaVolt Typhoon dimostra l'efficacia di queste tecniche quando vengono implementate correttamente.

Il movimento laterale attraverso le tecniche LOTL sfrutta la natura interconnessa delle reti aziendali. Gli aggressori utilizzano il remoting di PowerShell, le connessioni WMI o il Remote Desktop Protocol per diffondersi tra i sistemi, facendo apparire ogni passaggio come un'attività amministrativa legittima. Sfruttano le credenziali memorizzate nella cache, sfruttano le relazioni di fiducia e abusano degli account di servizio per ampliare l'accesso senza utilizzare gli strumenti di sfruttamento tradizionali. Questo approccio consente agli attori delle minacce di navigare in reti complesse mantenendo la sicurezza operativa.

Fasi comuni dell'attacco

Scoperta e ricognizione costituiscono la base di campagne LOTL di successo. Gli aggressori utilizzano comandi integrati in Windows come rete, nltest, e dsquery per mappare la topologia della rete, identificare obiettivi di alto valore e comprendere i controlli di sicurezza. Le cmdlet PowerShell forniscono informazioni dettagliate sul sistema, mentre le query WMI rivelano il software installato, i processi in esecuzione e le configurazioni di sicurezza. Questa fase di raccolta di informazioni spesso si protrae per settimane, mentre gli aggressori costruiscono pazientemente una comprensione completa della rete.

Escalation dei privilegi sfrutta le vulnerabilità degli strumenti legittimi e le errate configurazioni piuttosto che gli exploit tradizionali. Gli aggressori abusano delle funzionalità di Windows, come le tecniche di bypass del controllo dell'account utente (UAC), sfruttano le autorizzazioni dei servizi o la manipolazione dei token. Strumenti come schtasks.exe e sc.exe consentono l'escalation dei privilegi attraverso la manipolazione di attività e servizi pianificati. Queste tecniche spesso concatenano più LOLBin, creando percorsi di escalation sofisticati che eludono il rilevamento.

L'elusione della difesa rappresenta la proposta di valore principale degli attacchi LOTL. Gli aggressori disabilitano gli strumenti di sicurezza utilizzando comandi amministrativi legittimi, cancellano i registri degli eventi con wevtutil.exee offuscano le attività attraverso l'iniezione di processi in processi affidabili. Sfruttano la capacità di PowerShell di eseguire codice direttamente in memoria, evitando completamente il rilevamento su disco. Le campagne moderne abusano persino delle funzionalità di esclusione di Windows Defender per creare rifugi sicuri per le attività dannose.

Esempio di catena di attacco

Consideriamo una sequenza di attacco reale che dimostra le tecniche LOTL in azione. L'attacco inizia quando un utente riceve un phishing contenente un documento dannoso. All'apertura, il documento esegue un comando PowerShell attraverso una macro, scaricando ed eseguendo uno script direttamente in memoria. Questo attacco iniziale utilizza solo funzionalità legittime di Office e PowerShell, aggirando il rilevamento antivirus tradizionale.

L'aggressore stabilisce la persistenza creando un'attività pianificata usando schtasks.execonfigurato per eseguire uno script PowerShell memorizzato in un flusso di dati alternativo di un file legittimo. Eseguono quindi una ricognizione utilizzando nltest, gruppo nettoe il modulo Active Directory di PowerShell per mappare la struttura del dominio e identificare gli account amministrativi. Tutte le attività appaiono come compiti standard di amministrazione del sistema.

Per il movimento laterale, l'aggressore utilizza WMI per eseguire comandi su sistemi remoti, diffondendosi nella rete senza distribuire malware tradizionale. Estraggono le credenziali utilizzando PowerShell per accedere alla memoria LSASS, quindi utilizzano tali credenziali con strumenti legittimi come Remote Desktop o PowerShell remoting. La conservazione dei dati avviene attraverso certutil.exe per la codifica e bitsadmin.exe per esfiltrazionecompletando la catena di attacco con strumenti esclusivamente legittimi.

Tipi di tecniche e strumenti LOTL

L'arsenale della LOTL comprende una vasta gamma di tecniche classificate in base alla loro funzione primaria all'interno della catena di attacco. L'esecuzione proxy di binari di sistema, documentata come tecnica MITRE ATT&CK T1218, rappresenta una delle categorie più versatili. Queste tecniche abusano di binari legittimi per delegare l'esecuzione di codice dannoso, aggirando il whitelisting delle applicazioni e altri controlli di sicurezza. Esempi comuni sono rundll32.exe per l'esecuzione di DLL dannose, regsvr32.exe per aggirare i controlli di sicurezza e mshta.exe per l'esecuzione di file HTA contenenti script dannosi.

Gli interpreti di comandi e scripting costituiscono un'altra categoria critica, in quanto offrono agli aggressori potenti capacità di automazione ed esecuzione remota. Oltre all'onnipresente PowerShell, gli aggressori sfruttano cmd.exe per l'esecuzione di script batch, wscript.exe e cscript.exe per VBScript e JScript e anche msbuild.exe per l'esecuzione di file di progetto dannosi. Ogni interprete offre capacità e opportunità di evasione uniche, consentendo agli aggressori di adattare le proprie tecniche in base ai vincoli ambientali e ai controlli di sicurezza.

La Windows Management Instrumentation (WMI) merita un'attenzione particolare in quanto è sia un potente framework di amministrazione che un devastante vettore di attacco. WMI consente l'esecuzione di codice in remoto, la persistenza attraverso la sottoscrizione di eventi e la ricognizione completa del sistema. Gli aggressori utilizzano WMI per qualsiasi cosa, dalla compromissione iniziale fino al wmic.exe creazione di processi alla persistenza a lungo termine tramite i consumatori di eventi WMI. L'uso legittimo del framework nella gestione aziendale rende particolarmente impegnativo il rilevamento di attività WMI dannose.

Le attività e i lavori pianificati forniscono meccanismi di persistenza affidabili che sopravvivono ai riavvii del sistema e spesso eludono il rilevamento. Gli aggressori abusano schtasks.exe per creare attività pianificate, at.exe per gli attacchi di retrocompatibilità e le cmdlet di pianificazione dei lavori di PowerShell per un'automazione sofisticata. Questi meccanismi si fondono perfettamente con l'automazione amministrativa legittima, rendendo le attività dannose difficili da identificare senza un'analisi comportamentale.

I LOLBin più abusati

Il dominio di PowerShell nel panorama LOTL riflette le sue capacità ineguagliabili e la sua distribuzione onnipresente. Presente nel 71% degli attacchi LOTL, PowerShell offre agli aggressori un ambiente di programmazione completo, capacità di esecuzione remota e un accesso profondo al sistema. La sua integrazione con .NET Framework consente sofisticate operazioni in-memory, mentre il suo uso legittimo nell'automazione aziendale fornisce una copertura perfetta per le attività dannose. Gli aggressori sfruttano PowerShell per tutto, dalla compromissione iniziale all'esfiltrazione dei dati, rendendolo il gioiello della corona di LOLBins.

Certutil.exe è un esempio di sfida a doppio uso, originariamente progettato per la gestione dei certificati ma comunemente abusato per le operazioni sui file. Gli aggressori utilizzano certutil per scaricare file da server remoti, codificare e decodificare payload e persino eseguire operazioni crittografiche. La sua presenza legittima su tutti i sistemi Windows e la firma Microsoft valida lo rendono uno strumento ideale per aggirare i controlli di sicurezza. Le campagne recenti hanno mostrato un abuso sempre più creativo di certutil, compreso l'utilizzo come canale di comunicazione per il comando e il controllo.

I restanti LOLBin servono ciascuno a scopi di attacco specifici. Rundll32.exe consente l'esecuzione di DLL dannose pur apparendo come un processo legittimo di Windows. Regsvr32.exe aggira il whitelisting delle applicazioni grazie alle sue capacità di esecuzione di script. Mshta.exe esegue file HTA che possono contenere una logica di attacco complessa. Bitsadmin.exe fornisce funzionalità di download e upload persistenti che sopravvivono ai riavvii. Insieme, questi strumenti formano un toolkit di attacco completo che non richiede malware personalizzato.

Tecniche LOTL Cloud

Gli ambientiCloud introducono nuove opportunità di LOTL attraverso i loro strumenti di gestione e le loro API. L'AWS CLI diventa un potente vettore di attacco quando le credenziali vengono compromesse, consentendo agli aggressori di enumerare le risorse, esfiltrare i dati dai bucket S3 e persino avviare istanze di mining di criptovaluta. L'uso legittimo dello strumento per l'amministrazione cloud rende estremamente difficile distinguere le attività dannose. Gli aggressori possono sfruttare AWS Systems Manager per l'esecuzione di codice remoto, abusare delle funzioni Lambda per la persistenza serverless e sfruttare le autorizzazioni IAM per l'escalation dei privilegi.

Gli ambienti Azure devono affrontare sfide simili con l'abuso di Azure PowerShell e Azure CLI. Gli aggressori utilizzano questi strumenti per enumerare Azure Active Directory, accedere a Key Vault contenenti credenziali sensibili e spostarsi lateralmente tra risorse cloud e on-premise attraverso Azure AD Connect. Le API di Azure Resource Manager forniscono potenti funzionalità che, se abusate, consentono di compromettere completamente i tenant cloud . Attacchi recenti hanno dimostrato tecniche sofisticate che utilizzano runbook di Azure Automation per la persistenza e pipeline di Azure DevOps per gli attacchi alla catena di distribuzione.

Google Cloud Platform presenta opportunità uniche di LOTL grazie a gcloud SDK e Cloud Shell. Gli aggressori sfruttano questi strumenti per la ricognizione dei progetti GCP, abusano di Cloud Functions per l'hosting di malware senza server e sfruttano Cloud Build per le operazioni di cryptomining. L'integrazione tra i servizi GCP crea percorsi di attacco che si estendono ai sistemi di calcolo, archiviazione e identità. Le tecniche LOTL Cloud continuano a evolversi man mano che le organizzazioni adottano strategie cloud , creando superfici di attacco complesse che gli strumenti di sicurezza tradizionali faticano a monitorare efficacemente.

Attacchi LOTL in pratica

Le campagne LOTL del mondo reale dimostrano l'efficacia devastante di questa tecnica in tutti i settori. Il Volt Typhoon attribuita ad attori cinesi sponsorizzati dallo Stato, ha ottenuto un successo senza precedenti mantenendo l'accesso alle infrastrutture critiche per oltre cinque anni utilizzando esclusivamente tecniche LOTL. Secondo gli avvisi congiunti del CISA, dell'NSA e dell'FBI, il gruppo ha preso di mira i sistemi di telecomunicazioni, energia, trasporti e acqua in tutti gli Stati Uniti. Il loro approccio paziente prevedeva un'ampia ricognizione, un attento movimento laterale e una comunicazione esterna minima per evitare di essere scoperti.

FIN7, un gruppo di minaccia a sfondo finanziario, ha evoluto le proprie tattiche per incorporare sofisticate tecniche LOTL in campagne che hanno preso di mira i settori automobilistico e della vendita al dettaglio. Le loro operazioni dimostrano come i gruppi di criminali informatici adottino tecniche da Stato nazionale per ottenere un guadagno economico. Utilizzando backdoor basate su PowerShell e WMI per la persistenza, FIN7 ha mantenuto un accesso a lungo termine ai sistemi di elaborazione dei pagamenti. Le loro campagne dimostrano la convergenza di tecniche criminali e di spionaggio, con LOTL che fornisce una sicurezza operativa precedentemente riservata agli attori statali.

Le organizzazioni sanitarie sono particolarmente vulnerabili agli attacchi LOTL, con costi medi di violazione di 10,93 milioni di dollari per ogni incidente che coinvolge queste tecniche. Gli ambienti IT complessi, i sistemi legacy e la natura critica del settore lo rendono un obiettivo interessante. I gruppi di ransomware utilizzano sempre più spesso tecniche LOTL per l'accesso iniziale e il movimento laterale prima di distribuire i payload di crittografia. I tempi di permanenza prolungati consentiti dalle tecniche LOTL permettono agli aggressori di identificare ed esfiltrare i dati sensibili dei pazienti, massimizzando la leva per le richieste di riscatto.

Gruppi di minacce persistenti avanzate come APT29 (Cozy Bear) e Stealth Falcon hanno perfezionato le tecniche LOTL fino a raggiungere la perfezione. Le operazioni di APT29 dimostrano un uso magistrale di PowerShell, WMI e attività pianificate per la persistenza a lungo termine. Le recenti campagne di Stealth Falcon mostrano l'evoluzione delle tecniche LOTL cloud, sfruttando gli strumenti di gestione cloud per attacchi cross-tenant. Il successo di questi gruppi evidenzia come le tecniche LOTL consentano operazioni durature nonostante una maggiore consapevolezza difensiva.

Impatti specifici del settore

Le organizzazioni sanitarie subiscono impatti catastrofici dagli attacchi LOTL a causa dei loro requisiti operativi unici. I dispositivi medici che eseguono sistemi Windows integrati non possono facilmente disabilitare PowerShell o implementare un whitelisting rigoroso delle applicazioni senza interrompere l'assistenza ai pazienti. I sistemi di cartelle cliniche elettroniche (EHR) si basano molto su PowerShell per l'automazione e l'integrazione, creando le condizioni ideali per l'abuso di LOTL. I requisiti normativi del settore per la disponibilità dei dati complicano ulteriormente la difesa, in quanto le misure di sicurezza aggressive potrebbero violare gli standard di cura dei pazienti.

I settori delle infrastrutture critiche sono esposti a minacce esistenziali da parte delle tecniche LOTL a causa di ambienti di tecnologia operativa (OT) in cui la disponibilità prevale sulla sicurezza. I sistemi di controllo industriale spesso eseguono versioni di Windows obsolete con controlli di sicurezza limitati, il che li rende bersagli privilegiati per gli attacchi LOTL. La convergenza delle reti IT e OT espande le superfici di attacco, mentre i sistemi legacy forniscono nascondigli perfetti per le minacce persistenti. La persistenza di Volt Typhoon , durata cinque anni, dimostra come gli aggressori pazienti possano posizionarsi per operazioni di sabotaggio potenzialmente devastanti.

Le organizzazioni di servizi finanziari lottano contro gli attacchi LOTL nonostante i programmi di sicurezza maturi. L'ampio uso di PowerShell per l'automazione, i complessi ambienti Active Directory e le numerose connessioni di terze parti creano abbondanti opportunità di LOTL. Gli aggressori prendono di mira le istituzioni finanziarie non solo per furti diretti, ma anche per attacchi alla catena di fornitura contro i loro clienti. I danni alla reputazione derivanti da attacchi LOTL riusciti possono superare le perdite finanziarie dirette, in particolare quando vengono compromessi i dati dei clienti.

Rilevare e prevenire gli attacchi LOTL

Una difesa LOTL efficace richiede un passaggio fondamentale dal rilevamento basato sulle firme all'analisi comportamentale e al rilevamento delle anomalie. Le organizzazioni devono stabilire delle linee di base complete sull'utilizzo normale degli strumenti amministrativi, per poi avvisare in caso di deviazioni che suggeriscono un'attività dannosa. Questo approccio richiede un'ampia registrazione, analisi sofisticate e una profonda comprensione dei modelli operativi legittimi. La sfida consiste nel distinguere tra l'amministrazione legittima e l'abuso dannoso quando entrambi utilizzano strumenti e tecniche identici.

La registrazione avanzata è alla base del rilevamento LOTL, ma la maggior parte delle organizzazioni non ha un'adeguata visibilità sulle attività di PowerShell, WMI e della riga di comando. La registrazione di PowerShell ScriptBlock cattura il contenuto completo degli script, rivelando i tentativi di offuscamento e i payload dannosi. La registrazione delle attività WMI rivela i meccanismi di persistenza e il movimento laterale. L'auditing dei processi della riga di comando fornisce un contesto per l'utilizzo di strumenti sospetti. Tuttavia, il volume di dati generati richiede analisi sofisticate per identificare le minacce senza sopraffare i team di sicurezza.

Le politiche di whitelisting e controllo delle applicazioni offrono una difesa preventiva contro le tecniche LOTL. Sebbene gli aggressori abusino di strumenti legittimi, la limitazione del loro uso al personale e ai contesti autorizzati riduce significativamente la superficie di attacco. La modalità PowerShell Constrained Language limita le capacità di scripting, pur preservando le funzionalità amministrative. I criteri AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a criteri di utente, percorso ed editore. Questi controlli richiedono un'attenta implementazione per evitare di interrompere le operazioni legittime.

I principi dell'architetturaZero trust forniscono una difesa completa contro le tecniche LOTL eliminando la fiducia implicita. Ogni esecuzione di strumenti, connessione di rete e accesso ai dati richiede una verifica esplicita, indipendentemente dalla fonte. La microsegmentazione limita le opportunità di movimento laterale, mentre la gestione degli accessi privilegiati limita la disponibilità degli strumenti. L'approccio zero trust riconosce che le difese perimetrali falliscono contro le tecniche LOTL, concentrandosi invece sul contenimento e sul rilevamento delle attività dannose ovunque si verifichino.

Le piattaforme di Extended Detection and Response (XDR) correlano i segnali tra endpoint, reti e ambienti cloud per identificare gli attacchi LOTL che interessano più sistemi. Analizzando i modelli di utilizzo degli strumenti, le comunicazioni di rete e il comportamento degli utenti in modo olistico, le soluzioni XDR sono in grado di identificare catene di attacchi che i singoli strumenti di sicurezza potrebbero ignorare. Le funzionalità di rilevamento e risposta della rete si rivelano particolarmente preziose per identificare i movimenti laterali e le comunicazioni di comando e controllo generate dalle tecniche LOTL.

Tecniche di rilevamento

Gli indicatori di attacco (IOA) forniscono un rilevamento superiore per le tecniche LOTL rispetto ai tradizionali indicatori di compromissione (IOC). Mentre gli IOC si concentrano su artefatti specifici come hash dei file o indirizzi IP, gli IOA identificano modelli comportamentali che suggeriscono un'attività dannosa. Tra gli esempi vi sono PowerShell che esegue comandi codificati, WMI che crea processi remoti o attività pianificate che vengono eseguite da directory temporanee. Il rilevamento basato su IOA si adatta alle variazioni di tecnica, fornendo una difesa resiliente contro gli attacchi LOTL in evoluzione.

Le linee di base comportamentali stabiliscono i modelli normali di utilizzo degli strumenti amministrativi, consentendo di rilevare le attività anomale che suggeriscono attacchi LOTL. I team di sicurezza devono profilare l'uso legittimo di PowerShell, i modelli di attività WMI e la creazione di attività pianificate tra i diversi ruoli utente e sistemi. Gli algoritmi di apprendimento automatico possono identificare le deviazioni da queste linee di base, segnalando potenziali attacchi da indagare. L'approccio richiede un continuo perfezionamento, in quanto i modelli di utilizzo legittimo si evolvono in base alle esigenze aziendali.

Le tecniche di rilevamento basate sulla memoria identificano gli attacchi LOTL che operano interamente in memoria senza toccare il disco. Gli strumenti avanzati di rilevamento endpoint monitorano la memoria del processo alla ricerca di schemi sospetti come il codice iniettato, il caricamento di DLL riflessive o PowerShell che ospita assembly .NET dannosi. Queste tecniche possono identificare attacchi LOTL sofisticati che gli antivirus tradizionali non riescono a individuare. Tuttavia, l'analisi della memoria richiede risorse di elaborazione e competenze significative per essere implementata in modo efficace.

I metodi di rilevamento basati sull'intelligenza artificiale sono promettenti per l'identificazione di tecniche LOTL sofisticate che i sistemi basati su regole non riescono a individuare. I modelli di apprendimento automatico addestrati su vasti set di dati relativi all'utilizzo di strumenti legittimi e dannosi possono identificare modelli sottili che indicano gli attacchi. L'elaborazione del linguaggio naturale analizza gli script PowerShell alla ricerca di intenti dannosi, indipendentemente dall'offuscamento. I modelli di apprendimento profondo correlano più segnali deboli in un rilevamento delle minacce ad alta affidabilità. Recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento LOTL, anche se la gestione dei falsi positivi rimane impegnativa.

Migliori pratiche di prevenzione

Il principio del minimo privilegio riduce fondamentalmente la superficie di attacco LOTL limitando l'accesso allo strumento agli utenti e ai sistemi che lo richiedono per scopi legittimi. Gli utenti normali non dovrebbero avere accesso a PowerShell, mentre gli amministratori dovrebbero utilizzare account separati per le attività amministrative. Gli account di servizio richiedono autorizzazioni minime, adattate a funzioni specifiche. L'implementazione dell'accesso just-in-time per gli strumenti amministrativi riduce ulteriormente le finestre di esposizione. Questo approccio riconosce che non tutti hanno bisogno di accedere a potenti strumenti di sistema di cui gli aggressori abusano.

Le configurazioni di sicurezza di PowerShell hanno un impatto significativo sul successo degli attacchi LOTL. La modalità linguistica vincolata impedisce la maggior parte delle tecniche PowerShell dannose, pur preservando le funzionalità amministrative. I criteri di esecuzione, pur non essendo limiti di sicurezza, aumentano la difficoltà degli attacchi. I requisiti di firma del codice garantiscono l'esecuzione solo degli script approvati. L'integrazione dell'interfaccia di scansione Malware (AMSI) consente l'analisi degli script in tempo reale. Queste configurazioni richiedono un'attenta verifica per evitare di interrompere l'automazione legittima.

I criteri di controllo delle applicazioni creano barriere difensive contro le tecniche LOTL. I criteri di restrizione del software, AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a vari criteri. I criteri possono limitare PowerShell a utenti specifici, limitare l'uso di WMI agli amministratori autorizzati o impedire l'esecuzione da directory temporanee. L'implementazione richiede un inventario completo dell'uso legittimo degli strumenti per evitare interruzioni dell'attività. Gli aggiornamenti regolari dei criteri tengono conto dei nuovi casi d'uso legittimi, pur mantenendo la sicurezza.

La segmentazione della rete limita le opportunità di movimento laterale LOTL limitando la comunicazione tra i sistemi. Le risorse critiche devono risiedere in segmenti di rete isolati con controlli di accesso rigorosi. L'ispezione del traffico est-ovest identifica l'uso di strumenti sospetti che attraversano i confini dei segmenti. La microsegmentazione estende questo concetto all'isolamento dei singoli carichi di lavoro. L'approccio contiene gli attacchi LOTL riusciti, impedendo la compromissione dell'intera azienda a causa di violazioni di singoli sistemi.

Esercizi della squadra viola

La simulazione di attacchi LOTL convalida le capacità di rilevamento e identifica le lacune difensive prima che si verifichino attacchi reali. Le esercitazioni del Purple Team devono replicare le tecniche LOTL osservate in natura, testando il rilevamento e la risposta lungo l'intera catena di attacco. Le simulazioni potrebbero includere le culle di download di PowerShell, la persistenza di WMI e la creazione di attività pianificate. Ogni esercitazione fornisce dati preziosi per la messa a punto delle regole di rilevamento e la formazione dei team di sicurezza.

I metodi di convalida del rilevamento garantiscono che i controlli di sicurezza identifichino efficacemente le tecniche LOTL senza generare eccessivi falsi positivi. I team devono testare le regole di rilevamento in base all'uso di strumenti sia dannosi che legittimi, misurando i tassi di rilevamento e i rapporti di falsi positivi. I framework di test automatizzati possono convalidare continuamente le capacità di rilevamento man mano che gli ambienti cambiano. Il processo di convalida rivela i punti ciechi del rilevamento che richiedono ulteriori controlli o modifiche alla configurazione.

I cicli di miglioramento continuo perfezionano le difese LOTL in base ai risultati delle esercitazioni e alle minacce emergenti. Ogni esercitazione dei team viola genera lezioni apprese per migliorare le capacità di prevenzione, rilevamento e risposta. I team di sicurezza dovrebbero monitorare metriche come il tempo medio di rilevamento e i tassi di falsi positivi nel tempo. Una rivalutazione regolare assicura che le difese si evolvano insieme alle tecniche degli aggressori. L'approccio iterativo riconosce che la difesa LOTL richiede un perfezionamento continuo piuttosto che un'implementazione una tantum.

LOTL e quadri di conformità

Le tecniche LOTL corrispondono a più tecniche del frameworkMITRE ATT&CK e richiedono una copertura completa del ciclo di vita dell'attacco. System Binary Proxy Execution (T1218) comprende tecniche come l'abuso di rundll32 e regsvr32 per l'elusione delle difese. Interprete di comandi e scripting (T1059) comprende PowerShell, cmd e altri interpreti di cui si abusa. Windows Management Instrumentation (T1047) affronta gli attacchi basati su WMI. Scheduled Task/Job (T1053) comprende la persistenza attraverso la pianificazione delle attività. Ogni tecnica richiede strategie di rilevamento e mitigazione specifiche.

I controlli del NIST Cybersecurity Framework forniscono una difesa strutturata contro gli attacchi LOTL. DE.AE-3 richiede l'aggregazione e la correlazione degli eventi per identificare i modelli di attacco LOTL su più sistemi. DE.CM-1 richiede il monitoraggio della rete per rilevare i movimenti laterali e le comunicazioni di comando e controllo. DE.CM-7 si concentra sul monitoraggio del software non autorizzato e delle connessioni generate dalle tecniche LOTL. Questi controlli, se correttamente implementati, costituiscono una strategia di rilevamento completa.

L'allineamento dei controlli CIS garantisce misure di sicurezza fondamentali che riducono il successo degli attacchi LOTL. Il controllo 2 (Inventario e controllo delle risorse software) identifica gli strumenti non autorizzati di cui gli aggressori potrebbero abusare. Il controllo 4 (Uso controllato dei privilegi amministrativi) limita l'accesso ai potenti LOLBin. Il controllo 6 (Manutenzione, monitoraggio e analisi dei registri di audit) consente di rilevare le LOTL attraverso una registrazione completa. Il controllo 8Malware DifeseMalware ) dovrebbe includere funzionalità di rilevamento specifiche per le LOTL.

I principi dellaZero Trust Architecture forniscono il quadro più completo per la difesa LOTL. La filosofia "mai fidarsi, verificare sempre" si applica perfettamente agli strumenti di sistema a doppio uso. Ogni esecuzione di PowerShell, query WMI o creazione di attività pianificate richiede una verifica esplicita, indipendentemente dalla fonte. La verifica continua garantisce che anche le credenziali legittime non possano consentire attacchi LOTL illimitati. Zero trust riconosce che le difese perimetrali tradizionali falliscono contro gli aggressori che utilizzano strumenti legittimi dall'interno della rete.

MITRE ATT&CK copertura

Il MITRE ATT&CK del framework guida le strategie di difesa LOTL. Ogni tecnica include descrizioni dettagliate, esempi reali, raccomandazioni per il rilevamento e strategie di mitigazione. I team di sicurezza devono mappare i rischi LOTL del proprio ambiente con le tecniche pertinenti, dando priorità alle difese in base alle informazioni sulle minacce e ai fattori ambientali. La natura viva del framework garantisce che la copertura si evolva con le tecniche LOTL emergenti.

Le raccomandazioni per il rilevamento delle tecniche LOTL enfatizzano il monitoraggio comportamentale rispetto agli approcci basati sulle firme. Per la T1218 (System Binary Proxy Execution), monitorare la creazione di processi per individuare relazioni sospette tra genitori e figli e parametri della riga di comando. Il rilevamento di T1059 (Command and Scripting Interpreter) si concentra su comandi codificati, contenuti di script sospetti e utilizzo insolito dell'interprete. Il rilevamento T1047 (WMI) richiede la registrazione delle attività WMI e l'analisi dei meccanismi di persistenza WMI. Il rilevamento T1053 (attività pianificate) monitora la creazione, la modifica e i modelli di esecuzione delle attività.

Le strategie di mitigazione prevedono controlli preventivi per ridurre la superficie di attacco LOTL. La prevenzione dell'esecuzione attraverso il whitelisting delle applicazioni blocca l'uso di strumenti non autorizzati. La gestione degli account privilegiati limita l'accesso agli strumenti amministrativi. La configurazione dei criteri di audit garantisce una registrazione completa per il rilevamento. La segmentazione della rete contiene gli attacchi riusciti. Le funzioni di protezione dagli exploit in Windows 10 e successivi forniscono ulteriori barriere contro specifiche tecniche LOTL. L'approccio a più livelli riconosce che nessun singolo controllo può bloccare tutti gli attacchi LOTL.

Approcci moderni alla difesa LOTL

Il rilevamento comportamentale guidato dall'intelligenza artificiale rappresenta l'avanguardia della difesa LOTL, sfruttando l'apprendimento automatico per identificare i modelli di attacco più sottili. Le piattaforme moderne analizzano milioni di eventi per stabilire il comportamento di base, quindi identificano le anomalie che suggeriscono attacchi LOTL. Questi sistemi correlano i segnali deboli tra endpoint, reti e ambienti cloud , identificando catene di attacchi che gli strumenti tradizionali non colgono. L'approccio AI si adatta alle tecniche in evoluzione senza richiedere aggiornamenti costanti delle regole, fornendo una difesa resiliente contro le nuove varianti LOTL.

Le piattaforme di sicurezza Cloud affrontano le sfide uniche del rilevamento delle LOTL negli ambienti cloud . Queste soluzioni monitorano le chiamate API cloud , analizzano l'uso di strumenti cloud e correlano le attività tra le distribuzioni cloud . Comprendono i modelli di utilizzo legittimo di strumenti come AWS CLI e Azure PowerShell, identificando gli abusi che gli strumenti di sicurezza tradizionali non rilevano. L'integrazione con i servizi di sicurezza dei cloud provider consente una visibilità completa sia a livello di infrastruttura che di applicazioni.

La caccia automatizzata alle minacce rivoluziona il rilevamento LOTL grazie alla ricerca continua di indicatori di attacco senza l'intervento umano. Questi sistemi eseguono sofisticate query di hunt, analizzano i risultati e segnalano i risultati sospetti per le indagini. Possono identificare tecniche LOTL come l'uso insolito di PowerShell, attività WMI sospette o attività pianificate anomale su migliaia di sistemi contemporaneamente. L'automazione consente il rilevamento proattivo delle minacce su una scala impossibile con l'hunting manuale.

Il rilevamento delle anomalie mediante apprendimento automatico, specificamente messo a punto per le tecniche LOTL, si rivela molto promettente. I modelli addestrati su vasti set di dati relativi all'utilizzo di strumenti legittimi e dannosi possono identificare gli attacchi con un'elevata precisione, riducendo al minimo i falsi positivi. Recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento rispetto ai sistemi basati su regole. La tecnologia continua a evolversi, con modelli più recenti che incorporano l'elaborazione del linguaggio naturale per l'analisi degli script e le reti neurali a grafo per la comprensione delle relazioni tra gli attacchi.

L'integrazione di NDR, EDR e XDR crea una visibilità LOTL completa in tutta l'azienda. Il rilevamento Endpoint identifica l'esecuzione di strumenti e il comportamento dei processi. Il rilevamento della rete rivela i movimenti laterali e le comunicazioni di comando e controllo. Il rilevamento esteso mette in relazione i segnali di tutte le fonti, identificando catene di attacco complesse. Questo approccio integrato garantisce che nessuna singola tecnica LOTL possa eludere il rilevamento operando nei punti ciechi del monitoraggio.

Come Vectra AI concepisce il rilevamento LOTL

Vectra AI si avvicina al rilevamento LOTL attraverso l'Attack Signal Intelligence™, utilizzando l'analisi comportamentale guidata dall'intelligenza artificiale per identificare l'uso dannoso di strumenti legittimi nei domini di rete, cloud e identità. Invece di affidarsi a firme o regole che diventano rapidamente obsolete, la piattaforma apprende i normali modelli di comportamento e identifica le deviazioni che indicano attacchi LOTL. Questo approccio si rivela particolarmente efficace contro le tecniche LOTL, in quanto si concentra sul comportamento degli aggressori piuttosto che su strumenti o tecniche specifiche.

Il rilevamento integrato della piattaforma negli ambienti ibridi garantisce una visibilità LOTL completa. Sia che gli aggressori utilizzino PowerShell in sede, che abusino di AWS CLI nel cloud o sfruttino Azure AD per la persistenza, Vectra AI mette in relazione queste attività in un racconto unificato dell'attacco. Questa visione olistica rivela catene di attacchi LOTL che potrebbero sembrare benigne se viste isolatamente, ma che indicano chiaramente un'attività dannosa se messe in relazione. L'approccio riconosce che i moderni attacchi LOTL si estendono a più ambienti e richiedono un rilevamento integrato per essere identificati in modo efficace.

Tendenze future e considerazioni emergenti

Il panorama della cybersecurity continua a evolversi rapidamente, con le tecniche di living off the land in prima linea tra le sfide emergenti. Nei prossimi 12-24 mesi, le organizzazioni dovranno prepararsi a diversi sviluppi chiave che modificheranno il modo in cui gli attacchi LOTL vengono condotti e difesi.

Le tecniche LOTL Cloud prolifereranno man mano che le organizzazioni proseguiranno il loro percorso di trasformazione cloud . Gli aggressori stanno sviluppando metodi sofisticati per abusare dei piani di gestione cloud , delle piattaforme di serverless computing e degli strumenti di orchestrazione dei container. Ci aspettiamo di assistere a un maggiore sfruttamento di strumenti Infrastructure as Code (IaC) come Terraform e CloudFormation per la persistenza e il movimento laterale. Il modello di responsabilità condivisa della sicurezza cloud crea lacune che gli aggressori sfrutteranno sempre più spesso utilizzando strumenti di amministrazione cloud legittimi.

L'intelligenza artificiale trasformerà sia gli attacchi LOTL che le difese. Gli aggressori utilizzeranno l'intelligenza artificiale per scoprire automaticamente nuove tecniche LOLBin, generare script polimorfici che eludono il rilevamento e ottimizzare i percorsi di attacco attraverso gli ambienti. Al contrario, i difensori sfrutteranno l'intelligenza artificiale per migliorare l'analisi comportamentale, la caccia automatica alle minacce e la modellazione predittiva delle minacce. Questa corsa agli armamenti dell'intelligenza artificiale accelererà il ritmo dell'evoluzione delle tecniche LOTL, richiedendo un continuo adattamento delle strategie difensive.

I quadri normativi probabilmente imporranno specifiche capacità di rilevamento delle LOTL, in particolare per i settori delle infrastrutture critiche. A seguito di attacchi di alto profilo come Volt Typhoon, i governi stanno riconoscendo che i quadri di conformità tradizionali non affrontano adeguatamente le minacce LOTL. Le organizzazioni devono prepararsi a soddisfare i requisiti relativi alla registrazione di PowerShell, all'implementazione di analisi comportamentali e ai programmi obbligatori di caccia alle minacce. Il panorama normativo probabilmente si frammenterà a livello globale, creando sfide di conformità per le organizzazioni multinazionali.

Gli attacchi LOTL alla catena di approvvigionamento aumenteranno in quanto gli aggressori riconoscono l'effetto moltiplicatore della compromissione dei fornitori di software e dei fornitori di servizi gestiti. Questi attacchi utilizzeranno tecniche LOTL per mantenere la segretezza mentre si spostano dai punti di compromissione iniziali agli obiettivi a valle. L'attacco SolarWinds ha dimostrato questo potenziale e le campagne future perfezioneranno queste tecniche. Le organizzazioni devono estendere il rilevamento LOTL per includere l'accesso di terze parti e i meccanismi di aggiornamento del software.

Gli sviluppi dell'informatica quantistica potrebbero avere un impatto sulle difese LOTL, in particolare sulle protezioni crittografiche e sulle comunicazioni sicure. Sebbene le minacce di tipo quantistico siano ancora lontane anni, gli attacchi ibridi che combinano le tecniche LOTL classiche con la crittoanalisi assistita dai quanti potrebbero emergere prima. Le organizzazioni dovrebbero iniziare a pianificare la migrazione alla crittografia post-quantistica, mantenendo forti difese LOTL.

Conclusione

Gli attacchi Living off the land rappresentano un cambiamento fondamentale nel panorama delle minacce informatiche, che rende obsoleti gli approcci di sicurezza tradizionali. Con l'84% degli attacchi ad alta gravità che utilizzano queste tecniche e con gli attori delle minacce che mantengono una persistenza inosservata per anni, le organizzazioni non possono più fare affidamento sulle difese basate sulle firme o sulla sicurezza perimetrale. La sfida non è solo tecnica: è anche filosofica e richiede ai team di sicurezza di ripensare l'intero approccio al rilevamento e alla prevenzione delle minacce.

Il percorso da seguire richiede una combinazione di maggiore visibilità, analisi comportamentale e principi di zero trust . Le organizzazioni devono implementare una registrazione completa di PowerShell, WMI e delle attività della riga di comando, implementando al contempo analisi avanzate per identificare modelli anomali. I criteri di controllo delle applicazioni e la gestione degli accessi privilegiati riducono la superficie di attacco, mentre la segmentazione della rete contiene le violazioni riuscite. Soprattutto, i team di sicurezza devono passare da reattivi a proattivi, implementando la caccia continua alle minacce e le esercitazioni dei team viola per convalidare le difese.

L'evoluzione delle tecniche LOTL, in particolare negli ambienti cloud e attraverso attacchi potenziati dall'intelligenza artificiale, fa sì che questa sfida sia destinata a intensificarsi. Le organizzazioni che non riescono ad adattare le proprie difese rischiano di unirsi al crescente elenco di vittime che subiscono violazioni multimilionarie e interruzioni operative. Tuttavia, coloro che adottano il rilevamento comportamentale, implementano architetture zero trust e mantengono un monitoraggio vigile possono difendersi efficacemente anche da campagne LOTL sofisticate.

La questione non è se la vostra organizzazione dovrà affrontare attacchi LOTL, ma se sarete preparati quando arriveranno. Iniziate a valutare la vostra attuale visibilità sull'utilizzo degli strumenti amministrativi, implementate una migliore registrazione e analisi comportamentale e considerate come piattaforme come Attack Signal Intelligence™ diVectra AI possano fornire il rilevamento integrato necessario per identificare queste minacce furtive. In un'epoca in cui gli aggressori vivono sul vostro territorio, la vostra difesa deve essere altrettanto adattabile e intelligente.