Attacchi Living Off the Land LOTL): cosa devono sapere i team di sicurezza

Nel 2024, ben l'84% degli attacchi informatici ad alta gravità ha sfruttato strumenti di sistema legittimi anziché malware personalizzati, segnando un cambiamento fondamentale nel panorama delle minacce. Gli attacchi LOTL (Living off the land) si sono evoluti da tecnica avanzata a metodologia dominante sia per gli attori statali che per i gruppi di criminali informatici. Il vantaggio è evidente: questi attacchi sfruttano proprio gli strumenti su cui le organizzazioni fanno affidamento per l'amministrazione legittima, rendendo il rilevamento estremamente difficile e richiedendo un investimento minimo da parte degli aggressori.

I team di sicurezza devono affrontare una sfida senza precedenti. Quando PowerShell, Windows Management Instrumentation (WMI) e altri strumenti amministrativi diventano armi, gli approcci tradizionali alla sicurezza falliscono. La recente Volt Typhoon ha mantenuto l'accesso inosservato alle infrastrutture critiche per oltre cinque anni, dimostrando il potenziale devastante di queste tecniche. Questa realtà richiede un ripensamento completo delle strategie di rilevamento e prevenzione, andando oltre gli approcci basati sulle firme per passare all'analisi comportamentale e zero trust .

Cosa significa vivere della terra?

Il living off the land è una tecnica di attacco informatico in cui gli autori delle minacce abusano degli strumenti e delle funzionalità legittimi del sistema operativo per condurre attività dannose, evitando di essere rilevati mimetizzandosi con le normali operazioni di sistema. Anziché distribuire malware personalizzato malware potrebbe essere segnalato dagli strumenti di sicurezza, gli aggressori sfruttano i file binari e gli script affidabili già presenti sui sistemi di destinazione. Questo approccio riduce drasticamente la loro impronta digitale, massimizzando al contempo le capacità di occultamento e persistenza.

L'efficacia degli attacchi LOTL deriva da una sfida fondamentale in materia di sicurezza: distinguere tra l'uso legittimo e quello dannoso degli strumenti amministrativi. Quando un amministratore di sistema utilizza PowerShell per gestire i server, sembra identico a un aggressore che utilizza lo stesso strumento per la ricognizione o il movimento laterale. Questa ambiguità crea punti ciechi di rilevamento che gli aggressori sfruttano senza pietà. Secondo recenti analisi, queste tecniche compaiono ora nell'84% degli attacchi ad alta gravità, rappresentando un completo cambiamento di paradigma rispetto alle tradizionali intrusioni malware.

Sebbene spesso confuso con malware senza file, LOTL rappresenta un sottoinsieme specifico incentrato esclusivamente sull'uso improprio di strumenti legittimi. malware senza file comprende qualsiasi attacco che evita la scrittura su disco, inclusi gli impianti solo memoria e la persistenza basata sul registro. Gli attacchi LOTL, tuttavia, sfruttano specificamente i file binari e gli script di sistema affidabili, rendendoli particolarmente insidiosi. La distinzione è importante per le strategie di rilevamento, poiché le tecniche LOTL richiedono un'analisi comportamentale piuttosto che la tradizionale scansione dei file.

Le organizzazioni hanno difficoltà a contrastare gli attacchi LOTL perché questi sfruttano proprio le fondamenta delle operazioni IT. Ogni sistema Windows include PowerShell, WMI e decine di altri strumenti amministrativi che non possono essere semplicemente disabilitati senza compromettere le operazioni legittime. Ciò crea un vantaggio asimmetrico per gli aggressori, che devono solo trovare modi creativi per abusare di questi strumenti, mentre i difensori devono proteggere ogni potenziale vettore.

LOLBins spiegato

Living Off the Land , o LOLBins, sono eseguibili di sistema legittimi che gli aggressori riutilizzano per attività dannose. Questi eseguibili vengono forniti con i sistemi operativi o con software comunemente installati, recano firme digitali valide e svolgono funzioni amministrative legittime. La loro doppia natura li rende strumenti di attacco perfetti, poiché i software di sicurezza in genere si fidano implicitamente di essi. Il progetto LOLBAS documenta attualmente oltre 200 eseguibili Windows che possono essere utilizzati per attacchi, con nuove tecniche scoperte regolarmente.

PowerShell domina il panorama LOLBin, comparendo nel 71% degli attacchi LOTL secondo recenti dati telemetrici. Le sue potenti capacità di scripting, le funzionalità di esecuzione remota e l'accesso approfondito al sistema lo rendono il coltellino svizzero degli hacker. Oltre a PowerShell, WMI fornisce meccanismi di persistenza e capacità di movimento laterale, mentre strumenti come certutil.exe consentono il download di file e operazioni di codifica. Anche utility apparentemente innocue come bitsadmin.exe, progettate per la gestione dei trasferimenti in background, diventano armi per l'esfiltrazione furtiva dei dati.

La sofisticatezza dell'abuso dei LOLBin continua ad evolversi man mano che gli aggressori scoprono nuove tecniche. Le campagne moderne concatenano più LOLBin insieme, creando flussi di attacco complessi che rispecchiano i flussi di lavoro amministrativi legittimi. Questa evoluzione riflette la maturità del LOTL come metodologia di attacco, passando dall'abuso opportunistico degli strumenti a campagne accuratamente orchestrate che sfruttano l'intera gamma di utilità di sistema disponibili.

Come funzionano gli attacchi LOTL

Gli attacchi LOTL si svolgono attraverso fasi accuratamente orchestrate che rispecchiano le operazioni IT legittime, rendendo il rilevamento estremamente difficile. Gli aggressori iniziano con un accesso iniziale, spesso tramite phishing sfruttando vulnerabilità, per poi passare immediatamente all'utilizzo di strumenti legittimi per tutte le attività successive. Questa transizione segna il momento critico in cui il rilevamento tradizionale spesso fallisce, poiché le azioni dannose diventano indistinguibili dall'amministrazione di routine.

La fase iniziale dell'esecuzione sfrutta processi affidabili per stabilire un punto d'appoggio. Gli aggressori potrebbero utilizzare PowerShell per scaricare script aggiuntivi, impiegare WMI per l'esecuzione di codice remoto o abusare delle attività pianificate per garantire la persistenza. Ogni azione utilizza file binari firmati e legittimi di cui gli strumenti di sicurezza si fidano intrinsecamente. Questo rapporto di fiducia diventa la base dell'attacco, consentendo agli autori delle minacce di operare quasi impunemente mentre le difese tradizionali rimangono cieche.

I meccanismi di persistenza mettono in mostra la creatività delle tecniche LOTL. Anziché installare malware tradizionali malware potrebbero attivare avvisi, gli aggressori modificano attività pianificate legittime, creano sottoscrizioni a eventi WMI o manipolano le chiavi di esecuzione del registro. Queste modifiche si integrano perfettamente con le configurazioni di sistema esistenti, spesso sopravvivendo ai riavvii e persino ad alcuni tentativi di riparazione. La persistenza quinquennaleVolt Typhoon dimostra quanto queste tecniche possano essere efficaci se implementate correttamente.

Il movimento laterale tramite tecniche LOTL sfrutta la natura interconnessa delle reti aziendali. Gli aggressori utilizzano PowerShell Remoting, connessioni WMI o Remote Desktop Protocol per diffondersi nei sistemi, e ogni salto appare come un'attività amministrativa legittima. Sfruttano le credenziali memorizzate nella cache, le relazioni di fiducia e abusano degli account di servizio per espandere l'accesso senza implementare strumenti di sfruttamento tradizionali. Questo approccio consente agli autori delle minacce di navigare in reti complesse mantenendo la sicurezza operativa.

Fasi comuni di un attacco

Scoperta e ricognizione costituiscono la base delle campagne LOTL di successo. Gli aggressori utilizzano comandi Windows integrati come rete, nltest, e dsquery per mappare la topologia della rete, identificare obiettivi di alto valore e comprendere i controlli di sicurezza. I cmdlet di PowerShell forniscono informazioni dettagliate sul sistema, mentre le query WMI rivelano il software installato, i processi in esecuzione e le configurazioni di sicurezza. Questa fase di raccolta di informazioni spesso si protrae per settimane, mentre gli aggressori costruiscono pazientemente una comprensione completa della rete.

Elevazione dei privilegi sfrutta le vulnerabilità degli strumenti legittimi e le configurazioni errate piuttosto che gli exploit tradizionali. Gli aggressori abusano delle funzionalità di Windows come le tecniche di bypass del Controllo account utente (UAC), sfruttano le autorizzazioni dei servizi o manipolano i token. Strumenti come schtasks.exe e sc.exe consentono l'escalation dei privilegi attraverso attività pianificate e la manipolazione dei servizi. Queste tecniche spesso concatenano più LOLBin, creando sofisticati percorsi di escalation che eludono il rilevamento.

L'elusione della difesa rappresenta il valore fondamentale degli attacchi LOTL. Gli aggressori disabilitano gli strumenti di sicurezza utilizzando comandi amministrativi legittimi, cancellano i registri degli eventi con wevtutil.exee nascondono le attività tramite l'iniezione di processi in processi affidabili. Sfruttano la capacità di PowerShell di eseguire codice direttamente nella memoria, evitando completamente il rilevamento basato su disco. Le campagne moderne abusano persino delle funzionalità di esclusione di Windows Defender per creare rifugi sicuri per attività dannose.

Esempio di catena di attacchi

Consideriamo una sequenza di attacchi reali che dimostra le tecniche LOTL in azione. L'attacco ha inizio quando un utente riceve un phishing e-mail di phishing contenente un documento dannoso. All'apertura, il documento esegue un comando PowerShell tramite una macro, scaricando ed eseguendo uno script direttamente nella memoria. Questo punto d'appoggio iniziale utilizza solo funzionalità legittime di Office e PowerShell, aggirando il rilevamento antivirus tradizionale.

L'autore dell'attacco garantisce la persistenza creando un'attività pianificata utilizzando schtasks.exe, configurato per eseguire uno script PowerShell memorizzato in un flusso di dati alternativo di un file legittimo. Quindi eseguono una ricognizione utilizzando nltest, gruppo nettoe il modulo Active Directory di PowerShell per mappare la struttura del dominio e identificare gli account amministrativi. Tutte le attività vengono visualizzate come normali attività di amministrazione di sistema.

Per il movimento laterale, l'autore dell'attacco utilizza WMI per eseguire comandi su sistemi remoti, diffondendosi in tutta la rete senza distribuire malware tradizionale. Estrae le credenziali utilizzando PowerShell per accedere alla memoria LSASS, quindi utilizza tali credenziali con strumenti legittimi come Remote Desktop o PowerShell remoting. Il data staging avviene tramite certutil.exe per la codifica e bitsadmin.exe per esfiltrazione, completando la catena di attacchi utilizzando esclusivamente strumenti legittimi.

Tipi di tecniche e strumenti LOTL

L'arsenale LOTL comprende una vasta gamma di tecniche classificate in base alla loro funzione primaria all'interno del catena di attacchi. L'esecuzione di proxy binari di sistema, documentata come MITRE ATT&CK T1218, rappresenta una delle categorie più versatili. Queste tecniche abusano di file binari legittimi per eseguire codice dannoso tramite proxy, aggirando le whitelist delle applicazioni e altri controlli di sicurezza. Esempi comuni includono rundll32.exe per l'esecuzione di DLL dannose, regsvr32.exe per aver aggirato i controlli di sicurezza, e mshta.exe per l'esecuzione di file HTA contenenti script dannosi.

Gli interpreti di comandi e script costituiscono un'altra categoria critica, poiché offrono agli aggressori potenti funzionalità di automazione ed esecuzione remota. Oltre all'onnipresente PowerShell, gli aggressori sfruttano cmd.exe per l'esecuzione di script batch, wscript.exe e cscript.exe per VBScript e JScript, e persino msbuild.exe per l'esecuzione di file di progetto dannosi. Ogni interprete offre funzionalità e opportunità di evasione uniche, consentendo agli aggressori di adattare le proprie tecniche in base ai vincoli ambientali e ai controlli di sicurezza.

Windows Management Instrumentation (WMI) merita un'attenzione particolare in quanto potente framework di amministrazione e vettore di attacchi devastanti. WMI consente l'esecuzione di codice remoto, la persistenza tramite sottoscrizioni agli eventi e una ricognizione completa del sistema. Gli aggressori utilizzano WMI per tutto, dalla compromissione iniziale fino a wmic.exe creazione di processi a persistenza a lungo termine tramite consumatori di eventi WMI. L'uso legittimo del framework nella gestione aziendale rende particolarmente difficile il rilevamento di attività WMI dannose.

Le attività e i processi pianificati forniscono meccanismi di persistenza affidabili che sopravvivono al riavvio del sistema e spesso sfuggono al rilevamento. Gli aggressori ne abusano. schtasks.exe per creare attività pianificate, at.exe per attacchi di compatibilità con le versioni precedenti e cmdlet di pianificazione delle attività di PowerShell per un'automazione sofisticata. Questi meccanismi si integrano perfettamente con l'automazione amministrativa legittima, rendendo difficile l'identificazione delle attività dannose senza un'analisi comportamentale.

I LOLBin più abusati

Il predominio di PowerShell nel panorama LOTL riflette le sue capacità senza pari e la sua diffusione capillare. Presente nel 71% degli attacchi LOTL, PowerShell fornisce agli aggressori un ambiente di programmazione completo, capacità di esecuzione remota e accesso approfondito al sistema. La sua integrazione con .NET Framework consente sofisticate operazioni in memoria, mentre il suo uso legittimo nell'automazione aziendale fornisce una copertura perfetta per attività dannose. Gli aggressori sfruttano PowerShell per tutto, dalla compromissione iniziale all'esfiltrazione dei dati, rendendolo il fiore all'occhiello dei LOLBin.

Certutil.exe è un esempio della sfida del doppio uso: originariamente progettato per la gestione dei certificati, viene comunemente utilizzato in modo improprio per operazioni sui file. Gli aggressori utilizzano certutil per scaricare file da server remoti, codificare e decodificare payload e persino eseguire operazioni crittografiche. La sua presenza legittima su tutti i sistemi Windows e la firma Microsoft valida lo rendono uno strumento ideale per aggirare i controlli di sicurezza. Recenti campagne hanno mostrato un uso sempre più creativo di certutil, compreso il suo utilizzo come canale di comunicazione per il comando e il controllo.

I restanti LOLBin principali hanno ciascuno uno scopo specifico nell'ambito dell'attacco. Rundll32.exe consente l'esecuzione di DLL dannose apparendo come un processo Windows legittimo. Regsvr32.exe aggira la whitelist delle applicazioni grazie alle sue capacità di esecuzione di script. Mshta.exe esegue file HTA che possono contenere logiche di attacco complesse. Bitsadmin.exe fornisce capacità di download e upload persistenti che sopravvivono al riavvio del sistema. Insieme, questi strumenti formano un kit di attacco completo che non richiede malware personalizzato.

Tecniche LOTL Cloud

Cloud introducono nuove opportunità LOTL attraverso i loro strumenti di gestione e le API. AWS CLI diventa un potente vettore di attacco quando le credenziali vengono compromesse, consentendo agli aggressori di enumerare le risorse, sottrarre dati dai bucket S3 e persino avviare istanze di mining di criptovalute. L'uso legittimo dello strumento per cloud rende estremamente difficile distinguere le attività dannose. Gli aggressori possono sfruttare AWS Systems Manager per l'esecuzione di codice remoto, abusare delle funzioni Lambda per la persistenza serverless e sfruttare le autorizzazioni IAM per l'escalation dei privilegi.

Gli ambienti Azure devono affrontare sfide simili con l'uso improprio di Azure PowerShell e Azure CLI. Gli aggressori utilizzano questi strumenti per enumerare Azure Active Directory, accedere ai Key Vault contenenti credenziali sensibili e spostarsi lateralmente tra le risorse cloud on-premise tramite Azure AD Connect. Le API di Azure Resource Manager forniscono potenti funzionalità che, se utilizzate in modo improprio, consentono la compromissione completa cloud . Recenti attacchi hanno dimostrato tecniche sofisticate che utilizzano i runbook di Azure Automation per la persistenza e le pipeline di Azure DevOps per gli attacchi alla catena di fornitura.

Google Cloud offre opportunità LOTL uniche attraverso gcloud SDK e Cloud . Gli aggressori sfruttano questi strumenti per effettuare ricognizioni nei progetti GCP, abusano di Cloud per malware serverless e utilizzano Cloud per operazioni di cryptomining. L'integrazione tra i servizi GCP crea percorsi di attacco che abbracciano sistemi di elaborazione, archiviazione e identità. Le tecniche LOTL Cloud continuano ad evolversi man mano che le organizzazioni adottanocloud , creando superfici di attacco complesse che gli strumenti di sicurezza tradizionali faticano a monitorare in modo efficace.

Gli attacchi LOTL nella pratica

Le campagne LOTL reali dimostrano l'efficacia devastante di questa tecnica in tutti i settori industriali. Il Volt Typhoon , attribuita ad attori sponsorizzati dallo Stato cinese, ha ottenuto un successo senza precedenti mantenendo l'accesso a infrastrutture critiche per oltre cinque anni utilizzando esclusivamente tecniche LOTL. Secondo le avvertenze congiunte di CISA, NSA e FBI, il gruppo ha preso di mira i sistemi di telecomunicazione, energia, trasporti e idrici in tutti gli Stati Uniti. Il loro approccio paziente ha comportato un'ampia ricognizione, un attento movimento laterale e una comunicazione esterna minima per evitare di essere individuati.

FIN7, un gruppo di hacker motivato da interessi finanziari, ha evoluto le proprie tattiche incorporando sofisticate tecniche LOTL nelle campagne rivolte ai settori automobilistico e della vendita al dettaglio. Le loro operazioni dimostrano come i gruppi di criminali informatici adottino tecniche tipiche degli Stati nazionali per ottenere guadagni finanziari. Utilizzando backdoor basate su PowerShell e WMI per garantire la persistenza, FIN7 ha mantenuto un accesso a lungo termine ai sistemi di elaborazione dei pagamenti. Le loro campagne mettono in evidenza la convergenza tra tecniche criminali e di spionaggio, con LOTL che fornisce una sicurezza operativa precedentemente riservata agli attori statali.

Le organizzazioni sanitarie sono particolarmente vulnerabili agli attacchi LOTL, con costi medi di violazione pari a 10,93 milioni di dollari per ogni incidente che coinvolge queste tecniche. Gli ambienti IT complessi, i sistemi legacy e la natura critica del settore lo rendono un obiettivo appetibile. I gruppi di ransomware utilizzano sempre più spesso tecniche LOTL per l'accesso iniziale e il movimento laterale prima di distribuire payload di crittografia. I tempi di permanenza prolungati consentiti dalle tecniche LOTL permettono agli aggressori di identificare ed esfiltrare dati sensibili dei pazienti, massimizzando il potere di leva per le richieste di riscatto.

Gruppi di minacce persistenti avanzate come APT29 (Cozy Bear) e Stealth Falcon hanno perfezionato le tecniche LOTL fino a renderle quasi perfette. Le operazioni di APT29 dimostrano un uso magistrale di PowerShell, WMI e attività pianificate per una persistenza a lungo termine. Le recenti campagne di Stealth Falcon mostrano l'evoluzione delle tecniche LOTL cloud, sfruttando gli strumenti cloud per attacchi cross-tenant. Il successo di questi gruppi evidenzia come le tecniche LOTL consentano operazioni sostenute nonostante una maggiore consapevolezza difensiva.

Impatti specifici sul settore

Le organizzazioni sanitarie subiscono impatti catastrofici dagli attacchi LOTL a causa dei loro requisiti operativi specifici. I dispositivi medici che utilizzano sistemi Windows integrati non possono disabilitare facilmente PowerShell o implementare una rigorosa whitelist delle applicazioni senza interrompere l'assistenza ai pazienti. I sistemi di cartelle cliniche elettroniche (EHR) si affidano fortemente a PowerShell per l'automazione e l'integrazione, creando le condizioni ideali per l'abuso di LOTL. I requisiti normativi del settore in materia di disponibilità dei dati complicano ulteriormente la difesa, poiché misure di sicurezza aggressive potrebbero violare gli standard di assistenza ai pazienti.

I settori delle infrastrutture critiche devono affrontare minacce esistenziali derivanti dalle tecniche LOTL a causa degli ambienti tecnologici operativi (OT) in cui la disponibilità prevale sulla sicurezza. I sistemi di controllo industriale spesso utilizzano versioni obsolete di Windows con controlli di sicurezza limitati, rendendoli obiettivi primari per gli attacchi LOTL. La convergenza delle reti IT e OT amplia le superfici di attacco, mentre i sistemi legacy forniscono nascondigli perfetti per minacce persistenti. Volt Typhoon quinquennale Volt Typhoon dimostra come gli aggressori pazienti possano posizionarsi per operazioni di sabotaggio potenzialmente devastanti.

Le organizzazioni di servizi finanziari devono affrontare attacchi LOTL nonostante dispongano di programmi di sicurezza maturi. L'uso estensivo di PowerShell per l'automazione, gli ambienti Active Directory complessi e le numerose connessioni di terze parti creano numerose opportunità LOTL. Gli aggressori prendono di mira gli istituti finanziari non solo per furti diretti, ma anche per attacchi alla catena di fornitura contro i loro clienti. Il danno reputazionale derivante da attacchi LOTL riusciti può superare le perdite finanziarie dirette, in particolare quando vengono compromessi i dati dei clienti.

Rilevamento e prevenzione degli attacchi LOTL

Una difesa LOTL efficace richiede un cambiamento radicale dal rilevamento basato sulle firme all'analisi comportamentale e al rilevamento delle anomalie. Le organizzazioni devono stabilire linee guida complete sull'uso normale degli strumenti amministrativi, quindi segnalare le deviazioni che suggeriscono attività dannose. Questo approccio richiede una registrazione approfondita, analisi sofisticate e una comprensione approfondita dei modelli operativi legittimi. La sfida consiste nel distinguere tra amministrazione legittima e abuso dannoso quando entrambi utilizzano strumenti e tecniche identici.

La registrazione avanzata costituisce la base del rilevamento LOTL, ma la maggior parte delle organizzazioni non dispone di una visibilità adeguata su PowerShell, WMI e attività della riga di comando. La registrazione di PowerShell ScriptBlock acquisisce l'intero contenuto dello script, rivelando tentativi di offuscamento e payload dannosi. La registrazione delle attività WMI espone i meccanismi di persistenza e il movimento laterale. L'auditing dei processi della riga di comando fornisce il contesto per l'utilizzo di strumenti sospetti. Tuttavia, il volume di dati generati richiede analisi sofisticate per identificare le minacce senza sovraccaricare i team di sicurezza.

Le politiche di whitelisting e controllo delle applicazioni offrono una difesa preventiva contro le tecniche LOTL. Sebbene gli aggressori abusino di strumenti legittimi, limitarne l'uso al personale autorizzato e a contesti specifici riduce significativamente la superficie di attacco. La modalità PowerShell Constrained Language Mode limita le capacità di scripting preservando al contempo le funzionalità amministrative. Le politiche AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a criteri relativi a utente, percorso e editore. Questi controlli richiedono un'implementazione accurata per evitare di interferire con le operazioni legittime.

I principiZero trust forniscono una difesa completa contro le tecniche LOTL eliminando la fiducia implicita. Ogni esecuzione di strumenti, connessione di rete e accesso ai dati richiede una verifica esplicita indipendentemente dalla fonte. La microsegmentazione limita le opportunità di movimento laterale, mentre la gestione degli accessi privilegiati limita la disponibilità degli strumenti. zero trust riconosce che le difese perimetrali falliscono contro le tecniche LOTL, concentrandosi invece sul contenimento e il rilevamento delle attività dannose ovunque si verifichino.

Le piattaforme Extended Detection and Response (XDR) mettono in correlazione i segnali provenienti da endpoint, reti e cloud per identificare gli attacchi LOTL che interessano più sistemi. Analizzando in modo olistico i modelli di utilizzo degli strumenti, le comunicazioni di rete e il comportamento degli utenti, le soluzioni XDR sono in grado di identificare catene di attacchi che i singoli strumenti di sicurezza potrebbero non rilevare. Le funzionalità di rilevamento e risposta di rete si rivelano particolarmente preziose per identificare i movimenti laterali e le comunicazioni di comando e controllo generati dalle tecniche LOTL.

Tecniche di rilevamento

Gli indicatori di attacco (IOA) forniscono un rilevamento superiore delle tecniche LOTL rispetto ai tradizionali indicatori di compromissione (IOC). Mentre gli IOC si concentrano su artefatti specifici come hash di file o indirizzi IP, gli IOA identificano modelli comportamentali che suggeriscono attività dannose. Esempi includono l'esecuzione di PowerShell con comandi codificati, la creazione di processi remoti da parte di WMI o l'esecuzione di attività pianificate da directory temporanee. Il rilevamento basato su IOA si adatta alle variazioni delle tecniche, fornendo una difesa resiliente contro gli attacchi LOTL in continua evoluzione.

Le linee guida comportamentali stabiliscono modelli normali per l'utilizzo degli strumenti amministrativi, consentendo il rilevamento di attività anomale che suggeriscono attacchi LOTL. I team di sicurezza devono profilare l'utilizzo legittimo di PowerShell, i modelli di attività WMI e la creazione di attività pianificate tra diversi ruoli utente e sistemi. Gli algoritmi di apprendimento automatico possono identificare deviazioni da queste linee guida, segnalando potenziali attacchi da sottoporre a indagine. L'approccio richiede un continuo perfezionamento, poiché i modelli di utilizzo legittimo evolvono con le esigenze aziendali.

Le tecniche di rilevamento basate sulla memoria identificano gli attacchi LOTL che operano interamente nella memoria senza toccare il disco. Gli strumenti avanzati endpoint monitorano la memoria di processo alla ricerca di modelli sospetti come codice iniettato, caricamento di DLL riflettenti o PowerShell che ospita assembly .NET dannosi. Queste tecniche sono in grado di identificare attacchi LOTL sofisticati che gli antivirus tradizionali non riescono a rilevare. Tuttavia, l'analisi della memoria richiede risorse di elaborazione significative e competenze specifiche per essere implementata in modo efficace.

I metodi di rilevamento basati sull'intelligenza artificiale si dimostrano promettenti nell'identificare tecniche LOTL sofisticate che i sistemi basati su regole non riescono a individuare. I modelli di apprendimento automatico addestrati su vasti set di dati relativi all'uso legittimo e dannoso degli strumenti sono in grado di identificare modelli sottili che indicano attacchi. L'elaborazione del linguaggio naturale analizza gli script PowerShell alla ricerca di intenti dannosi, indipendentemente dall'offuscamento. I modelli di apprendimento profondo correlano più segnali deboli per ottenere un rilevamento delle minacce altamente affidabile. Le recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento LOTL, anche se la gestione dei falsi positivi rimane una sfida.

Migliori pratiche di prevenzione

Il principio del privilegio minimo riduce sostanzialmente la superficie di attacco LOTL limitando l'accesso agli strumenti agli utenti e ai sistemi che ne hanno bisogno per scopi legittimi. Gli utenti normali non dovrebbero avere accesso a PowerShell, mentre gli amministratori dovrebbero utilizzare account separati per le attività amministrative. Gli account di servizio richiedono autorizzazioni minime su misura per funzioni specifiche. L'implementazione dell'accesso just-in-time per gli strumenti amministrativi riduce ulteriormente le finestre di esposizione. Questo approccio riconosce che non tutti hanno bisogno di accedere a potenti strumenti di sistema che gli aggressori potrebbero sfruttare.

Le configurazioni di sicurezza di PowerShell influiscono in modo significativo sul successo degli attacchi LOTL. La modalità linguistica limitata impedisce la maggior parte delle tecniche PowerShell dannose, preservando al contempo le funzionalità amministrative. Le politiche di esecuzione, pur non costituendo barriere di sicurezza, aumentano la difficoltà degli attacchi. I requisiti di firma del codice garantiscono l'esecuzione solo degli script approvati. L'integrazione dell'interfacciaMalware (AMSI) consente l'analisi degli script in tempo reale. Queste configurazioni richiedono test accurati per evitare di interferire con l'automazione legittima.

Le politiche di controllo delle applicazioni creano barriere difensive contro le tecniche LOTL. Le politiche di restrizione software, AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a vari criteri. Le politiche possono limitare PowerShell a utenti specifici, restringere l'uso di WMI agli amministratori autorizzati o impedire l'esecuzione da directory temporanee. L'implementazione richiede un inventario completo dell'uso legittimo degli strumenti per evitare interruzioni dell'attività. Gli aggiornamenti regolari delle politiche consentono di adattarsi a nuovi casi d'uso legittimi, mantenendo al contempo la sicurezza.

La segmentazione della rete limita le opportunità di movimento laterale LOTL restringendo la comunicazione tra i sistemi. Le risorse critiche dovrebbero risiedere in segmenti di rete isolati con controlli di accesso rigorosi. L'ispezione del traffico est-ovest identifica l'uso sospetto di strumenti che attraversano i confini dei segmenti. La microsegmentazione estende questo concetto all'isolamento dei singoli carichi di lavoro. L'approccio contiene attacchi LOTL riusciti, impedendo la compromissione a livello aziendale da violazioni di singoli sistemi.

Esercizi del Purple Team

La simulazione di attacchi LOTL convalida le capacità di rilevamento e identifica le lacune difensive prima che si verifichino attacchi reali. Le esercitazioni del Purple Team dovrebbero replicare le tecniche LOTL effettivamente osservate sul campo, testando il rilevamento e la risposta lungo l'intera catena di attacco. Le simulazioni potrebbero includere cradle di download PowerShell, persistenza WMI e creazione di attività pianificate. Ogni esercitazione fornisce dati preziosi per la messa a punto delle regole di rilevamento e la formazione dei team di sicurezza.

I metodi di convalida del rilevamento garantiscono che i controlli di sicurezza identifichino efficacemente le tecniche LOTL senza generare un numero eccessivo di falsi positivi. I team dovrebbero testare le regole di rilevamento sia rispetto all'uso di strumenti dannosi che legittimi, misurando i tassi di rilevamento e i rapporti di falsi positivi. I framework di test automatizzati possono convalidare continuamente le capacità di rilevamento al variare degli ambienti. Il processo di convalida rivela i punti ciechi del rilevamento che richiedono controlli aggiuntivi o modifiche alla configurazione.

I cicli di miglioramento continuo perfezionano le difese LOTL sulla base dei risultati delle esercitazioni e delle minacce emergenti. Ogni esercitazione del purple team genera insegnamenti utili per migliorare le capacità di prevenzione, rilevamento e risposta. I team di sicurezza dovrebbero monitorare metriche quali il tempo medio di rilevamento e i tassi di falsi positivi nel tempo. Una rivalutazione periodica garantisce che le difese si evolvano di pari passo con le tecniche degli aggressori. L'approccio iterativo riconosce che la difesa LOTL richiede un perfezionamento continuo piuttosto che un'implementazione una tantum.

LOTL e quadri di conformità

Le tecniche LOTL corrispondono a diverse tecniche MITRE ATT&CK , che richiedono una copertura completa dell'intero ciclo di vita dell'attacco. L'esecuzione di proxy binari di sistema (T1218) comprende tecniche come l'abuso di rundll32 e regsvr32 per eludere le difese. Il comando e l'interprete di script (T1059) copre l'abuso di PowerShell, cmd e altri interpreti. Windows Management Instrumentation (T1047) affronta gli attacchi basati su WMI. Scheduled Task/Job (T1053) include la persistenza attraverso la pianificazione delle attività. Ogni tecnica richiede strategie di rilevamento e mitigazione specifiche.

I controlli del quadro di riferimento per la sicurezza informatica del NIST forniscono una difesa strutturata contro gli attacchi LOTL. DE.AE-3 richiede l'aggregazione e la correlazione degli eventi per identificare i modelli di attacco LOTL su più sistemi. DE.CM-1 impone il monitoraggio della rete per rilevare i movimenti laterali e le comunicazioni di comando e controllo. DE.CM-7 si concentra sul monitoraggio di software e connessioni non autorizzati generati dalle tecniche LOTL. Questi controlli costituiscono una strategia di rilevamento completa se implementati correttamente.

L'allineamento dei controlli CIS garantisce misure di sicurezza fondamentali che riducono il successo degli attacchi LOTL. Il controllo 2 (Inventario e controllo delle risorse software) identifica gli strumenti non autorizzati che gli aggressori potrebbero utilizzare in modo improprio. Il controllo 4 (Uso controllato dei privilegi amministrativi) limita l'accesso ai potenti LOLBin. Il controllo 6 (Manutenzione, monitoraggio e analisi dei registri di audit) consente il rilevamento LOTL attraverso una registrazione completa. Il controllo 8 (Malware ) dovrebbe includere funzionalità di rilevamento specifiche per LOTL.

I principiZero Trust forniscono il framework più completo per la difesa LOTL. La filosofia "non fidarti mai, verifica sempre" si applica perfettamente agli strumenti di sistema a duplice uso. Ogni esecuzione di PowerShell, query WMI o creazione di attività pianificate richiede una verifica esplicita indipendentemente dalla fonte. La verifica continua garantisce che anche le credenziali legittime non possano consentire attacchi LOTL senza restrizioni. Zero trust che le difese perimetrali tradizionali falliscono contro gli aggressori che utilizzano strumenti legittimi dall'interno della rete.

MITRE ATT&CK

Il MITRE ATT&CK guida le strategie di difesa LOTL. Ogni tecnica include descrizioni dettagliate, esempi reali, raccomandazioni per il rilevamento e strategie di mitigazione. I team di sicurezza dovrebbero mappare i rischi LOTL del proprio ambiente alle tecniche pertinenti, dando priorità alle difese in base alle informazioni sulle minacce e ai fattori ambientali. La natura dinamica del framework garantisce che la copertura si evolva con le tecniche LOTL emergenti.

Le raccomandazioni di rilevamento per le tecniche LOTL enfatizzano il monitoraggio comportamentale rispetto agli approcci basati sulle firme. Per T1218 (Esecuzione proxy binaria di sistema), monitorare la creazione di processi per individuare relazioni padre-figlio sospette e parametri della riga di comando. Il rilevamento T1059 (Interprete di comandi e script) si concentra su comandi codificati, contenuti di script sospetti e utilizzo insolito dell'interprete. Il rilevamento T1047 (WMI) richiede la registrazione delle attività WMI e l'analisi dei meccanismi di persistenza WMI. Il rilevamento T1053 (attività pianificate) monitora i modelli di creazione, modifica ed esecuzione delle attività.

Le strategie di mitigazione prevedono controlli preventivi a più livelli per ridurre la superficie di attacco LOTL. La prevenzione dell'esecuzione tramite whitelist delle applicazioni blocca l'uso non autorizzato degli strumenti. La gestione degli account privilegiati limita chi può accedere agli strumenti amministrativi. La configurazione delle politiche di audit garantisce una registrazione completa per il rilevamento. La segmentazione della rete contiene gli attacchi riusciti. Le funzionalità di protezione dagli exploit in Windows 10 e versioni successive forniscono ulteriori barriere contro specifiche tecniche LOTL. L'approccio a più livelli riconosce che nessun singolo controllo è in grado di fermare tutti gli attacchi LOTL.

Approcci moderni alla difesa LOTL

Il rilevamento comportamentale basato sull'intelligenza artificiale rappresenta la tecnologia più avanzata nella difesa LOTL, sfruttando l'apprendimento automatico per identificare modelli di attacco sottili. Le piattaforme moderne analizzano milioni di eventi per stabilire un comportamento di base, quindi identificano anomalie che suggeriscono attacchi LOTL. Questi sistemi mettono in correlazione segnali deboli tra endpoint, reti e cloud , identificando catene di attacchi che gli strumenti tradizionali non riescono a rilevare. L'approccio basato sull'intelligenza artificiale si adatta alle tecniche in evoluzione senza richiedere aggiornamenti costanti delle regole, fornendo una difesa resiliente contro nuove varianti LOTL.

Le piattaforme di sicurezza Cloud affrontano le sfide specifiche legate al rilevamento delle attività LOTL cloud . Queste soluzioni monitorano le chiamate cloud , analizzano l'utilizzo degli strumenti cloud e correlano le attività tracloud . Comprendono i modelli di utilizzo legittimo di strumenti come AWS CLI e Azure PowerShell, identificando gli abusi che gli strumenti di sicurezza tradizionali non riescono a rilevare. L'integrazione con i servizi di sicurezza cloud consente una visibilità completa sia a livello di infrastruttura che di applicazioni.

La ricerca automatizzata delle minacce rivoluziona il rilevamento LOTL grazie alla ricerca continua di indicatori di attacco senza intervento umano. Questi sistemi eseguono sofisticate query di ricerca, analizzano i risultati e segnalano i risultati sospetti per ulteriori indagini. Sono in grado di identificare tecniche LOTL come un utilizzo insolito di PowerShell, attività WMI sospette o attività pianificate anomale su migliaia di sistemi contemporaneamente. L'automazione consente un rilevamento proattivo delle minacce su una scala impossibile da raggiungere con la ricerca manuale.

Il rilevamento delle anomalie tramite apprendimento automatico, specificamente ottimizzato per le tecniche LOTL, mostra risultati molto promettenti. I modelli addestrati su vasti set di dati relativi all'uso legittimo e dannoso degli strumenti sono in grado di identificare gli attacchi con elevata precisione, riducendo al minimo i falsi positivi. Le recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento rispetto ai sistemi basati su regole. La tecnologia continua ad evolversi, con modelli più recenti che incorporano l'elaborazione del linguaggio naturale per l'analisi degli script e reti neurali grafiche per la comprensione delle relazioni tra gli attacchi.

L'integrazione di NDR, EDR e XDR crea una visibilità LOTL completa in tutta l'azienda. Endpoint identifica l'esecuzione degli strumenti e il comportamento dei processi. Il rilevamento della rete rivela i movimenti laterali e le comunicazioni di comando e controllo. Il rilevamento esteso correla i segnali provenienti da tutte le fonti, identificando catene di attacchi complesse. Questo approccio integrato garantisce che nessuna singola tecnica LOTL possa eludere il rilevamento operando in punti ciechi del monitoraggio.

Come Vectra AI il rilevamento LOTL

Vectra AI il rilevamento LOTL attraverso Attack Signal Intelligence™, utilizzando l'analisi comportamentale basata sull'intelligenza artificiale per identificare l'uso dannoso di strumenti legittimi su reti, cloud e domini di identità. Anziché affidarsi a firme o regole che diventano rapidamente obsolete, la piattaforma apprende i modelli di comportamento normali e identifica le deviazioni che indicano attacchi LOTL. Questo approccio si rivela particolarmente efficace contro le tecniche LOTL, poiché si concentra sul comportamento degli aggressori piuttosto che su strumenti o tecniche specifici.

Il rilevamento integrato della piattaforma in ambienti ibridi garantisce una visibilità completa delle minacce LOTL. Che gli aggressori utilizzino PowerShell in locale, abusino della CLI AWS nel cloud o sfruttino Azure AD per ottenere persistenza, Vectra AI queste attività in una narrazione unificata dell'attacco. Questa visione olistica rivela catene di attacchi LOTL che potrebbero sembrare innocue se considerate isolatamente, ma che indicano chiaramente attività dannose se correlate. L'approccio riconosce che i moderni attacchi LOTL si estendono su più ambienti e richiedono un rilevamento integrato per essere identificati in modo efficace.

Tendenze future e considerazioni emergenti

Il panorama della sicurezza informatica continua a evolversi rapidamente, con le tecniche LOTL (Living Off the Land) in prima linea tra le sfide emergenti. Nei prossimi 12-24 mesi, le organizzazioni dovranno prepararsi a diversi sviluppi chiave che ridefiniranno il modo in cui vengono condotti gli attacchi LOTL e la difesa contro di essi.

Le tecniche LOTL Cloud prolifereranno man mano che le organizzazioni proseguiranno il loro percorso cloud . Gli aggressori stanno sviluppando metodi sofisticati per abusare dei piani cloud , delle piattaforme di elaborazione serverless e degli strumenti di orchestrazione dei container. Prevediamo un aumento dello sfruttamento degli strumenti Infrastructure as Code (IaC) come Terraform e CloudFormation per la persistenza e il movimento laterale. Il modello di responsabilità condivisa cloud crea lacune che gli aggressori sfrutteranno sempre più utilizzando strumenti cloud legittimi.

L'intelligenza artificiale trasformerà sia gli attacchi LOTL che le difese. Gli aggressori utilizzeranno l'IA per scoprire automaticamente nuove tecniche LOLBin, generare script polimorfici che eludono il rilevamento e ottimizzare i percorsi di attacco attraverso gli ambienti. Al contrario, i difensori sfrutteranno l'IA per migliorare l'analisi comportamentale, la ricerca automatizzata delle minacce e la modellazione predittiva delle minacce. Questa corsa agli armamenti dell'IA accelererà il ritmo dell'evoluzione delle tecniche LOTL, richiedendo un continuo adattamento delle strategie difensive.

I quadri normativi richiederanno probabilmente specifiche capacità di rilevamento LOTL, in particolare per i settori delle infrastrutture critiche. A seguito di attacchi di alto profilo come Volt Typhoon, i governi stanno riconoscendo che i tradizionali quadri di conformità non sono in grado di affrontare adeguatamente le minacce LOTL. Le organizzazioni dovrebbero prepararsi a requisiti relativi alla registrazione di PowerShell, all'implementazione di analisi comportamentali e a programmi obbligatori di ricerca delle minacce. Il panorama normativo sarà probabilmente frammentato a livello globale, creando sfide di conformità per le organizzazioni multinazionali.

Gli attacchi LOTL alla catena di approvvigionamento aumenteranno man mano che gli aggressori riconosceranno l'effetto moltiplicatore derivante dalla compromissione dei fornitori di software e dei fornitori di servizi gestiti. Questi attacchi utilizzeranno tecniche LOTL per mantenere la furtività mentre si spostano dai punti di compromissione iniziali agli obiettivi a valle. L'attacco SolarWinds ha dimostrato questo potenziale e le campagne future perfezioneranno queste tecniche. Le organizzazioni devono estendere il rilevamento LOTL per includere l'accesso di terze parti e i meccanismi di aggiornamento del software.

Gli sviluppi nel campo dell'informatica quantistica potrebbero alla fine avere un impatto sulle difese LOTL, in particolare per quanto riguarda le protezioni crittografiche e le comunicazioni sicure. Sebbene le minacce legate all'informatica quantistica siano ancora lontane anni luce, potrebbero emergere prima attacchi ibridi che combinano tecniche LOTL classiche con la crittanalisi assistita dalla quantistica. Le organizzazioni dovrebbero iniziare a pianificare la migrazione alla crittografia post-quantistica, mantenendo al contempo solide difese LOTL.

Conclusione

Gli attacchi Living off the Land rappresentano un cambiamento fondamentale nel panorama delle minacce informatiche, che rende obsoleti gli approcci tradizionali alla sicurezza. Con l'84% degli attacchi ad alta gravità che ora impiega queste tecniche e gli autori delle minacce che mantengono una persistenza non rilevata per anni, le organizzazioni non possono più fare affidamento su difese basate su firme o sulla sicurezza perimetrale. La sfida non è solo tecnica, ma anche filosofica, e richiede ai team di sicurezza di ripensare il loro intero approccio al rilevamento e alla prevenzione delle minacce.

Il percorso da seguire richiede una combinazione di maggiore visibilità, analisi comportamentale e zero trust . Le organizzazioni devono implementare una registrazione completa delle attività di PowerShell, WMI e della riga di comando, implementando al contempo analisi avanzate per identificare modelli anomali. Le politiche di controllo delle applicazioni e la gestione degli accessi privilegiati riducono la superficie di attacco, mentre la segmentazione della rete contiene le violazioni riuscite. È fondamentale che i team di sicurezza passino da un approccio reattivo a uno proattivo, implementando una ricerca continua delle minacce ed esercitazioni purple team per convalidare le difese.

La natura in continua evoluzione delle tecniche LOTL, in particolare cloud e attraverso attacchi potenziati dall'intelligenza artificiale, significa che questa sfida è destinata a intensificarsi. Le organizzazioni che non riescono ad adattare le proprie difese rischiano di aggiungersi alla lista sempre più lunga delle vittime che subiscono violazioni multimilionarie e interruzioni operative. Tuttavia, quelle che adottano il rilevamento comportamentale, implementano zero trust e mantengono un monitoraggio vigile possono difendersi efficacemente anche dalle campagne LOTL più sofisticate.

La domanda non è se la tua organizzazione dovrà affrontare attacchi LOTL, ma se sarai pronto quando arriveranno. Inizia valutando la tua attuale visibilità sull'utilizzo degli strumenti amministrativi, implementa una registrazione avanzata e analisi comportamentali e considera come piattaforme come Attack Signal Intelligence™Vectra AI possano fornire il rilevamento integrato necessario per identificare queste minacce invisibili. In un'era in cui gli aggressori vivono sul tuo territorio, la tua difesa deve essere altrettanto adattabile e intelligente.