Attacchi Living Off the Land LOTL): cosa devono sapere i team di sicurezza

Nel 2024, ben l'84% degli attacchi informatici ad alta gravità ha sfruttato strumenti di sistema legittimi anziché malware personalizzati, segnando un cambiamento fondamentale nel panorama delle minacce. Gli attacchi LOTL (Living off the land) si sono evoluti da tecnica avanzata a metodologia dominante sia per gli attori statali che per i gruppi di criminali informatici. Il vantaggio è evidente: questi attacchi sfruttano proprio gli strumenti su cui le organizzazioni fanno affidamento per l'amministrazione legittima, rendendo il rilevamento estremamente difficile e richiedendo un investimento minimo da parte degli aggressori.

I team di sicurezza devono affrontare una sfida senza precedenti. Quando PowerShell, Windows Management Instrumentation (WMI) e altri strumenti amministrativi diventano armi, gli approcci tradizionali alla sicurezza falliscono. La recente Volt Typhoon ha mantenuto l'accesso inosservato alle infrastrutture critiche per oltre cinque anni, dimostrando il potenziale devastante di queste tecniche. Questa realtà richiede un ripensamento completo delle strategie di rilevamento e prevenzione, andando oltre gli approcci basati sulle firme per passare all'analisi comportamentale e zero trust .

Cosa significa vivere della terra?

Il living off the land è una tecnica di attacco informatico in cui gli autori delle minacce abusano degli strumenti e delle funzionalità legittimi del sistema operativo per condurre attività dannose, evitando di essere rilevati mimetizzandosi con le normali operazioni di sistema. Anziché distribuire malware personalizzato malware potrebbe essere segnalato dagli strumenti di sicurezza, gli aggressori sfruttano i file binari e gli script affidabili già presenti sui sistemi di destinazione. Questo approccio riduce drasticamente la loro impronta digitale, massimizzando al contempo le capacità di occultamento e persistenza.

L'efficacia degli attacchi LOTL deriva da una sfida fondamentale in materia di sicurezza: distinguere tra l'uso legittimo e quello dannoso degli strumenti amministrativi. Quando un amministratore di sistema utilizza PowerShell per gestire i server, sembra identico a un aggressore che utilizza lo stesso strumento per la ricognizione o il movimento laterale. Questa ambiguità crea punti ciechi di rilevamento che gli aggressori sfruttano senza pietà. Secondo recenti analisi, queste tecniche compaiono ora nell'84% degli attacchi ad alta gravità, rappresentando un completo cambiamento di paradigma rispetto alle tradizionali intrusioni malware.

Sebbene spesso confuso con malware senza file, LOTL rappresenta un sottoinsieme specifico incentrato esclusivamente sull'uso improprio di strumenti legittimi. malware senza file comprende qualsiasi attacco che evita la scrittura su disco, inclusi gli impianti solo memoria e la persistenza basata sul registro. Gli attacchi LOTL, tuttavia, sfruttano specificamente i file binari e gli script di sistema affidabili, rendendoli particolarmente insidiosi. La distinzione è importante per le strategie di rilevamento, poiché le tecniche LOTL richiedono un'analisi comportamentale piuttosto che la tradizionale scansione dei file.

Le organizzazioni hanno difficoltà a contrastare gli attacchi LOTL perché questi sfruttano proprio le fondamenta delle operazioni IT. Ogni sistema Windows include PowerShell, WMI e decine di altri strumenti amministrativi che non possono essere semplicemente disabilitati senza compromettere le operazioni legittime. Ciò crea un vantaggio asimmetrico per gli aggressori, che devono solo trovare modi creativi per abusare di questi strumenti, mentre i difensori devono proteggere ogni potenziale vettore.

LOLBins spiegato

Living Off the Land , o LOLBins, sono eseguibili di sistema legittimi che gli aggressori riutilizzano per attività dannose. Questi eseguibili vengono forniti con i sistemi operativi o con software comunemente installati, recano firme digitali valide e svolgono funzioni amministrative legittime. La loro doppia natura li rende strumenti di attacco perfetti, poiché i software di sicurezza in genere si fidano implicitamente di essi. Il progetto LOLBAS documenta attualmente oltre 200 eseguibili Windows che possono essere utilizzati per attacchi, con nuove tecniche scoperte regolarmente.

PowerShell domina il panorama LOLBin, comparendo nel 71% degli attacchi LOTL secondo recenti dati telemetrici. Le sue potenti capacità di scripting, le funzionalità di esecuzione remota e l'accesso approfondito al sistema lo rendono il coltellino svizzero degli hacker. Oltre a PowerShell, WMI fornisce meccanismi di persistenza e capacità di movimento laterale, mentre strumenti come certutil.exe consentono il download di file e operazioni di codifica. Anche utility apparentemente innocue come bitsadmin.exe, progettate per la gestione dei trasferimenti in background, diventano armi per l'esfiltrazione furtiva dei dati.

La sofisticatezza dell'abuso dei LOLBin continua ad evolversi man mano che gli aggressori scoprono nuove tecniche. Le campagne moderne concatenano più LOLBin insieme, creando flussi di attacco complessi che rispecchiano i flussi di lavoro amministrativi legittimi. Questa evoluzione riflette la maturità del LOTL come metodologia di attacco, passando dall'abuso opportunistico degli strumenti a campagne accuratamente orchestrate che sfruttano l'intera gamma di utilità di sistema disponibili.

Cosa sono LOLBAS, GTFOBins, LOLDrivers e LOLOL?

Sebbene i LOLBin siano la forma più comunemente discussa di abuso Living-off-the-Land, i difensori si affidano a diversi cataloghi complementari per tracciare lo sfruttamento di strumenti affidabili su tutte le piattaforme. LOLBAS, GTFOBins, LOLDrivers e LOLOL sono cataloghi gestiti dalla comunità che documentano come componenti di sistema legittimi possano essere utilizzati in modo improprio per attacchi Living Off the Land LOTL).

Anziché introdurre malware personalizzato, gli aggressori si affidano a file binari, script, API e driver affidabili già presenti nei sistemi operativi per mimetizzare le attività dannose nel comportamento normale.

Questi progetti sono riferimenti essenziali per i difensori moderni perché mettono in luce dove la funzionalità amministrativa legittima diventa una superficie di attacco. Aiutano i team di sicurezza a capire quali strumenti vengono comunemente utilizzati in modo improprio, come tali abusi si riflettono sul comportamento degli aggressori e dove falliscono i tradizionali approcci di rilevamento.

Scopri come gli hacker utilizzano LOTL con GenAI

Comprendere LOLBins, l'abuso di Copilot e le tecniche LOTL basate sull'identità è fondamentale, ma è osservando come gli aggressori li concatenano tra loro che si acquisiscono le conoscenze necessarie per difendersi.

In questo webinar di Attack Labs, i nostri ingegneri della sicurezza analizzano le tecniche di attacco LOTL basate su GenAI utilizzate nel mondo reale, mostrando come gli aggressori sfruttino Microsoft Copilot per M365 per accelerare la ricognizione, l'abuso di privilegi e l'esecuzione delle campagne.

Guarda il webinar di 30 minuti di Attack Labs

Gli aggressori sfruttano le risorse disponibili con Microsoft Copilot per M365

‍

Scopri come funzionano questi attacchi, perché eludono i controlli tradizionali e in che modo il rilevamento comportamentale aiuta i team SOC a rispondere più rapidamente.

Che cos'è LOLBAS e perché i difensori lo utilizzano?

LOLBAS (Living Off The Land Binaries, Scripts, and Libraries) documenta i componenti Windows firmati da Microsoft che possono essere utilizzati in modo improprio per attività dannose.

Poiché questi file binari sono affidabili, firmati e ampiamente utilizzati per l'amministrazione, spesso aggirano i controlli di sicurezza progettati per bloccare eseguibili sconosciuti o non firmati.

I difensori si affidano al LOLBAS perché:

Rivela modelli di abuso affidabili

• LOLBAS evidenzia come strumenti di uso quotidiano, quali PowerShell, WMI, certutil.exe, o anche Microsoft Teams, possono essere utilizzati in modo improprio per l'esecuzione, la persistenza o il movimento laterale.

Supporta l'ingegneria di rilevamento

• Molte voci LOLBAS sono mappate sulle MITRE ATT&CK , aiutando i team a progettare rilevamenti comportamentali invece di affidarsi a indicatori statici.
  

Migliora il contesto investigativo

• Aiuta gli analisti a riconoscere quando un file binario legittimo viene utilizzato in modo atipico o ad alto rischio, come nel caso di applicazioni GUI che generano shell di comando o eseguono payload codificati.
  

In pratica, LOLBAS sposta il rilevamento da "Questo file binario è dannoso?" a "Questo file binario si comporta in modo tipico degli hacker?".

Che cos'è GTFOBins e quando è importante?

GTFOBins è un catalogo di binari UNIX e Linux che possono essere utilizzati in modo improprio per aggirare i controlli di sicurezza o aumentare i privilegi in sistemi configurati in modo errato. Ispirato a LOLBAS, si concentra sulle utility native della riga di comando essenziali per le operazioni quotidiane di Linux.

GTFOBins è importante perché:

L'abuso di LOTL su Linux è più difficile da individuare

• Strumenti come cp, gatto, bash, oppure trovare sono parte integrante dell'amministrazione del sistema, rendendo difficile distinguere l'uso doloso dall'attività legittima.

L'escalation dei privilegi è un rischio fondamentale

• GTFOBins documenta come i file binari con permessi elevati (come SUID) possano essere sfruttati per ottenere l'accesso root senza distribuire malware.

La rimozione non è un'opzione

• Poiché queste utility sono fondamentali, i difensori devono affidarsi al monitoraggio comportamentale e all'applicazione del principio del privilegio minimo piuttosto che bloccare completamente i file binari.

GTFOBins è particolarmente rilevante negli ambienti cloud, container e DevOps, dove Linux è dominante e l'accesso amministrativo è molto diffuso.

Cosa sono i LOLDriver e perché sono diversi dai LOLBin?

LOLDrivers cataloga i driver Windows vulnerabili o dannosi che possono essere utilizzati in modo improprio per ottenere l'accesso a livello di kernel. A differenza dei LOLBins, che operano nello spazio utente, i driver interagiscono direttamente con il sistema operativo e l'hardware.

LOLDrivers è diverso perché:

Operano a livelli di privilegio più elevati

• Lo sfruttamento dei driver può aggirare molti controlli endpoint e compromettere il sistema operativo stesso.

Si basano su diversi metodi di sfruttamento

• Gli aggressori abusano delle routine di invio dei driver, spesso tramite DeviceIoControl(), per eseguire codice o disabilitare protezioni.

Sono difficili da sostituire o revocare

• Le versioni moderne di Windows richiedono driver firmati, rendendo i driver firmati noti per essere vulnerabili estremamente preziosi per gli hacker.

Offrono strumenti difensivi

• Il progetto LOLDrivers fornisce frequentemente regole YARA, SIGMA e Sysmon, consentendo il rilevamento e la ricerca proattivi.

L'abuso di LOLDrivers rappresenta una tecnica LOTL ad alto impatto perché prende di mira il modello di fiducia del sistema operativo stesso.

Che cos'è LOLOL e come viene utilizzato come directory?

LOLOL (Living Off The Living Off The Land) è una meta-directory che aggrega più progetti LOTL in un unico punto di riferimento. Anziché documentare una singola categoria di abuso, collega binari, driver, API e tecniche tra diversi ecosistemi.

LOLOL viene utilizzato per:

Aggregare più risorse LOTL

• Si collega a LOLBAS, GTFOBins, LOLDrivers, MalAPI e altri cataloghi che documentano diverse superfici di abuso.

Ampliare la definizione di LOTL

• LOLOL include tecniche che vanno oltre i file binari, come l'abuso delle API di Windows, le funzioni di sospensione per eludere la sandbox o i domini attendibili per C2 e l'esfiltrazione.

Fornire un accesso centralizzato alla ricerca

• I team di sicurezza possono esplorare il panorama LOTL più ampio senza dover navigare tra decine di progetti separati.

LOLOL aiuta i difensori a comprendere che LOTL non è una singola tecnica, ma un continuum di abusi affidabili che coinvolgono file binari, driver, API e infrastrutture.

Perché questo è importante per il rilevamento LOTL

Insieme, LOLBAS, GTFOBins, LOLDrivers e LOLOL illustrano perché Living Off the Land eludono i controlli di sicurezza tradizionali. Gli aggressori non introducono artefatti estranei, ma abusano di ciò che già esiste.

Una difesa efficace richiede:

• Analisi comportamentale anziché rilevamento basato su file
  
• Contesto tra relazioni di processo, privilegi e flusso di esecuzione
  
• Visibilità sull'utilizzo dei componenti affidabili, non solo sulla loro presenza

Questo è il motivo per cui la moderna difesa LOTL si concentra sul comportamento, sulla sequenza e sull'intento, piuttosto che cercare di inserire nella lista nera strumenti che non possono essere realisticamente rimossi.

Come funzionano gli attacchi LOTL

Gli attacchi LOTL si svolgono attraverso fasi accuratamente orchestrate che rispecchiano le operazioni IT legittime, rendendo il rilevamento estremamente difficile. Gli aggressori iniziano con un accesso iniziale, spesso tramite phishing sfruttando vulnerabilità, per poi passare immediatamente all'utilizzo di strumenti legittimi per tutte le attività successive. Questa transizione segna il momento critico in cui il rilevamento tradizionale spesso fallisce, poiché le azioni dannose diventano indistinguibili dall'amministrazione di routine.

La fase iniziale dell'esecuzione sfrutta processi affidabili per stabilire un punto d'appoggio. Gli aggressori potrebbero utilizzare PowerShell per scaricare script aggiuntivi, impiegare WMI per l'esecuzione di codice remoto o abusare delle attività pianificate per garantire la persistenza. Ogni azione utilizza file binari firmati e legittimi di cui gli strumenti di sicurezza si fidano intrinsecamente. Questo rapporto di fiducia diventa la base dell'attacco, consentendo agli autori delle minacce di operare quasi impunemente mentre le difese tradizionali rimangono cieche.

I meccanismi di persistenza mettono in mostra la creatività delle tecniche LOTL. Anziché installare malware tradizionali malware potrebbero attivare avvisi, gli aggressori modificano attività pianificate legittime, creano sottoscrizioni a eventi WMI o manipolano le chiavi di esecuzione del registro. Queste modifiche si integrano perfettamente con le configurazioni di sistema esistenti, spesso sopravvivendo ai riavvii e persino ad alcuni tentativi di riparazione. La persistenza quinquennaleVolt Typhoon dimostra quanto queste tecniche possano essere efficaci se implementate correttamente.

Il movimento laterale tramite tecniche LOTL sfrutta la natura interconnessa delle reti aziendali. Gli aggressori utilizzano PowerShell Remoting, connessioni WMI o Remote Desktop Protocol per diffondersi nei sistemi, e ogni salto appare come un'attività amministrativa legittima. Sfruttano le credenziali memorizzate nella cache, le relazioni di fiducia e abusano degli account di servizio per espandere l'accesso senza implementare strumenti di sfruttamento tradizionali. Questo approccio consente agli autori delle minacce di navigare in reti complesse mantenendo la sicurezza operativa.

Scopri come gli hacker usano Copilot e gli strumenti nativi per accelerare le campagne LOTL e come i team SOC possono individuare e bloccare queste tecniche prima che facciano danni.

Guarda il webinar: Gli aggressori che sfruttano le risorse locali con Microsoft Copilot per M365

Come si svolge un attacco living-off-the-land?

La scoperta e la ricognizione sono in genere le prime fasi di un attacco living-off-the-land. Gli aggressori si affidano a comandi Windows integrati come net, nltest e dsquery per mappare l'ambiente, identificare i sistemi di alto valore e comprendere i controlli di sicurezza. I cmdlet PowerShell forniscono informazioni dettagliate sull'host e sul dominio, mentre le query WMI rivelano il software installato, i processi in esecuzione e le configurazioni di sistema.

Elevazione dei privilegi sfrutta le vulnerabilità degli strumenti legittimi e le configurazioni errate piuttosto che gli exploit tradizionali. Gli aggressori abusano delle funzionalità di Windows come le tecniche di bypass del Controllo account utente (UAC), sfruttano le autorizzazioni dei servizi o manipolano i token. Strumenti come schtasks.exe e sc.exe consentono l'escalation dei privilegi attraverso attività pianificate e la manipolazione dei servizi. Queste tecniche spesso concatenano più LOLBin, creando sofisticati percorsi di escalation che eludono il rilevamento.

L'elusione della difesa rappresenta il valore fondamentale degli attacchi LOTL. Gli aggressori disabilitano gli strumenti di sicurezza utilizzando comandi amministrativi legittimi, cancellano i registri degli eventi con wevtutil.exee nascondono le attività tramite l'iniezione di processi in processi affidabili. Sfruttano la capacità di PowerShell di eseguire codice direttamente nella memoria, evitando completamente il rilevamento basato su disco. Le campagne moderne abusano persino delle funzionalità di esclusione di Windows Defender per creare rifugi sicuri per attività dannose.

Come si svolge in pratica un attacco "vivere della terra"?

Un attacco LOTL (Living Off the Land) segue spesso una sequenza familiare, ma si basa interamente su strumenti di sistema legittimi piuttosto che malware personalizzato. L'esempio riportato di seguito illustra un singolo percorso di attacco LOTL, mappato su MITRE ATT&CK, per mostrare come le utility affidabili vengano utilizzate in modo improprio durante il ciclo di vita.

1. Esecuzione iniziale tramite PowerShell (MITRE ATT&CK: Command and Scripting Interpreter – T1059). Gli aggressori utilizzano PowerShell per eseguire comandi codificati o offuscati direttamente nella memoria tramite .NET Framework, consentendo un'esecuzione senza file che aggira molte difese basate sulle firme.
   
2. Recupero del payload utilizzando utilità native di Windows (MITRE ATT&CK: Ingress Tool Transfer – T1105). Strumenti integrati quali certutil.exe o bitsadmin.exe scaricare script o payload da infrastrutture esterne, consentendo agli aggressori di sfruttare le risorse disponibili senza introdurre nuovi eseguibili.
   
3. Persistenza tramite esecuzione pianificata o basata su eventi (MITRE ATT&CK: Attività/Lavoro pianificato – T1053). Le attività pianificate o le sottoscrizioni agli eventi WMI vengono utilizzate per garantire l'esecuzione ripetuta, mantenendo l'accesso tramite meccanismi Windows integrati e affidabili.
   
4. Movimento laterale tramite strumenti amministrativi (MITRE ATT&CK: Movimento laterale – T1021). Gli aggressori sfruttano WMI o PsExec per eseguire comandi su sistemi remoti, rendendo difficile distinguere le attività dannose dalla normale amministrazione IT.
   
5. Elusione della difesa tramite abuso di processi affidabili (MITRE ATT&CK: Masquerading – T1036). Binari legittimi come rundll32.exe o regsvr32.exe vengono utilizzati in modo improprio per eseguire logiche dannose sotto nomi di processi affidabili, riducendo il rilevamento da parte dei controlli di sicurezza.
   
6. Accesso ai dati ed esfiltrazione tramite canali di rete standard (MITRE ATT&CK: Esfiltrazione tramite protocollo alternativo – T1048). I dati vengono preparati ed esfiltrati utilizzando servizi comuni e traffico crittografato, mimetizzando l'attività dell'autore dell'attacco nel normale comportamento della rete.
   

Questo esempio mostra perché gli attacchi LOTL sono difficili da rilevare: ogni azione utilizza strumenti prevedibili che eseguono attività plausibili all'interno di un normale ambiente aziendale.

Esempio di catena di attacchi

Consideriamo una sequenza di attacchi reali che dimostra le tecniche LOTL in azione. L'attacco ha inizio quando un utente riceve un phishing e-mail di phishing contenente un documento dannoso. All'apertura, il documento esegue un comando PowerShell tramite una macro, scaricando ed eseguendo uno script direttamente nella memoria. Questo punto d'appoggio iniziale utilizza solo funzionalità legittime di Office e PowerShell, aggirando il rilevamento antivirus tradizionale.

L'autore dell'attacco garantisce la persistenza creando un'attività pianificata utilizzando schtasks.exe, configurato per eseguire uno script PowerShell memorizzato in un flusso di dati alternativo di un file legittimo. Quindi eseguono una ricognizione utilizzando nltest, gruppo nettoe il modulo Active Directory di PowerShell per mappare la struttura del dominio e identificare gli account amministrativi. Tutte le attività vengono visualizzate come normali attività di amministrazione di sistema.

Per il movimento laterale, l'autore dell'attacco utilizza WMI per eseguire comandi su sistemi remoti, diffondendosi in tutta la rete senza distribuire malware tradizionale. Estrae le credenziali utilizzando PowerShell per accedere alla memoria LSASS, quindi utilizza tali credenziali con strumenti legittimi come Remote Desktop o PowerShell remoting. Il data staging avviene tramite certutil.exe per la codifica e bitsadmin.exe per esfiltrazione, completando la catena di attacchi utilizzando esclusivamente strumenti legittimi.

Tipi di tecniche e strumenti LOTL

L'arsenale LOTL comprende una vasta gamma di tecniche classificate in base alla loro funzione primaria all'interno del catena di attacchi. L'esecuzione di proxy binari di sistema, documentata come MITRE ATT&CK T1218, rappresenta una delle categorie più versatili. Queste tecniche abusano di file binari legittimi per eseguire codice dannoso tramite proxy, aggirando le whitelist delle applicazioni e altri controlli di sicurezza. Esempi comuni includono rundll32.exe per l'esecuzione di DLL dannose, regsvr32.exe per aver aggirato i controlli di sicurezza, e mshta.exe per l'esecuzione di file HTA contenenti script dannosi.

Gli interpreti di comandi e script costituiscono un'altra categoria critica, poiché offrono agli aggressori potenti funzionalità di automazione ed esecuzione remota. Oltre all'onnipresente PowerShell, gli aggressori sfruttano cmd.exe per l'esecuzione di script batch, wscript.exe e cscript.exe per VBScript e JScript, e persino msbuild.exe per l'esecuzione di file di progetto dannosi. Ogni interprete offre funzionalità e opportunità di evasione uniche, consentendo agli aggressori di adattare le proprie tecniche in base ai vincoli ambientali e ai controlli di sicurezza.

Windows Management Instrumentation (WMI) merita un'attenzione particolare in quanto potente framework di amministrazione e vettore di attacchi devastanti. WMI consente l'esecuzione di codice remoto, la persistenza tramite sottoscrizioni agli eventi e una ricognizione completa del sistema. Gli aggressori utilizzano WMI per tutto, dalla compromissione iniziale fino a wmic.exe creazione di processi a persistenza a lungo termine tramite consumatori di eventi WMI. L'uso legittimo del framework nella gestione aziendale rende particolarmente difficile il rilevamento di attività WMI dannose.

Le attività e i processi pianificati forniscono meccanismi di persistenza affidabili che sopravvivono al riavvio del sistema e spesso sfuggono al rilevamento. Gli aggressori ne abusano. schtasks.exe per creare attività pianificate, at.exe per attacchi di compatibilità con le versioni precedenti e cmdlet di pianificazione delle attività di PowerShell per un'automazione sofisticata. Questi meccanismi si integrano perfettamente con l'automazione amministrativa legittima, rendendo difficile l'identificazione delle attività dannose senza un'analisi comportamentale.

I LOLBin più abusati

PowerShell domina il panorama Living off the Land (LOTL) grazie alla sua flessibilità e alla profonda integrazione nei moderni ambienti Windows. È presente in circa il 71% degli attacchi LOTL, rendendolo lo strumento nativo più frequentemente utilizzato in modo improprio.

In quanto framework completo di scripting e automazione, PowerShell offre agli aggressori funzionalità di esecuzione remota e ampio accesso alle parti interne del sistema. La sua stretta integrazione con .NET Framework consente l'esecuzione avanzata in memoria, il caricamento dinamico del codice e tecniche basate sulla riflessione che lasciano tracce forensi minime.

Poiché PowerShell è ampiamente utilizzato per attività legittime di amministrazione e automazione, le attività dannose spesso si confondono con le operazioni normali, a meno che i difensori non applichino un contesto comportamentale e una linea di base di utilizzo.

Quali altri LOLBin vengono comunemente utilizzati in modo improprio durante gli attacchi LOTL?

Oltre a PowerShell, gli aggressori si affidano a un piccolo insieme di file binari Windows affidabili per supportare le diverse fasi di un attacco.

• rundll32.exe e regsvr32.exe sono comunemente utilizzati per eseguire DLL o script dannosi mentre appaiono come processi di sistema legittimi.
  
• mshta.exe consente l'esecuzione di file HTML Application (HTA) contenenti script incorporati, spesso utilizzati per l'esecuzione iniziale o la consegna del payload.
  
• bitsadmin.exe, progettato per il trasferimento di file in background, fornisce un meccanismo resiliente per il download o l'esfiltrazione dei dati e può persistere anche dopo il riavvio del sistema.

Questi file binari consentono agli aggressori di creare catene di attacco complete senza distribuire malware personalizzato. La tabella seguente riassume i LOLBin più comunemente utilizzati, i loro modelli di sfruttamento tipici e alcune considerazioni pratiche relative al loro rilevamento.

Gli attacchi LOTL hanno successo perché questi file binari sono affidabili, firmati e operativamente essenziali. La minaccia è comportamentale, definita dal contesto e dall'esecuzione, non dagli strumenti stessi.

Tecniche LOTL Cloud

Cloud introducono nuove opportunità LOTL attraverso i loro strumenti di gestione e le API. AWS CLI diventa un potente vettore di attacco quando le credenziali vengono compromesse, consentendo agli aggressori di enumerare le risorse, sottrarre dati dai bucket S3 e persino avviare istanze di mining di criptovalute. L'uso legittimo dello strumento per cloud rende estremamente difficile distinguere le attività dannose. Gli aggressori possono sfruttare AWS Systems Manager per l'esecuzione di codice remoto, abusare delle funzioni Lambda per la persistenza serverless e sfruttare le autorizzazioni IAM per l'escalation dei privilegi.

Gli ambienti Azure devono affrontare sfide simili con l'uso improprio di Azure PowerShell e Azure CLI. Gli aggressori utilizzano questi strumenti per enumerare Azure Active Directory, accedere ai Key Vault contenenti credenziali sensibili e spostarsi lateralmente tra le risorse cloud on-premise tramite Azure AD Connect. Le API di Azure Resource Manager forniscono potenti funzionalità che, se utilizzate in modo improprio, consentono la compromissione completa cloud . Recenti attacchi hanno dimostrato tecniche sofisticate che utilizzano i runbook di Azure Automation per la persistenza e le pipeline di Azure DevOps per gli attacchi alla catena di fornitura.

Google Cloud offre opportunità LOTL uniche attraverso gcloud SDK e Cloud . Gli aggressori sfruttano questi strumenti per effettuare ricognizioni nei progetti GCP, abusano di Cloud per malware serverless e utilizzano Cloud per operazioni di cryptomining. L'integrazione tra i servizi GCP crea percorsi di attacco che abbracciano sistemi di elaborazione, archiviazione e identità. Le tecniche LOTL Cloud continuano ad evolversi man mano che le organizzazioni adottanocloud , creando superfici di attacco complesse che gli strumenti di sicurezza tradizionali faticano a monitorare in modo efficace.

Gli attacchi LOTL nella pratica

Le campagne LOTL reali dimostrano l'efficacia devastante di questa tecnica in tutti i settori industriali. Il Volt Typhoon , attribuita ad attori sponsorizzati dallo Stato cinese, ha ottenuto un successo senza precedenti mantenendo l'accesso a infrastrutture critiche per oltre cinque anni utilizzando esclusivamente tecniche LOTL. Secondo le avvertenze congiunte di CISA, NSA e FBI, il gruppo ha preso di mira i sistemi di telecomunicazione, energia, trasporti e idrici in tutti gli Stati Uniti. Il loro approccio paziente ha comportato un'ampia ricognizione, un attento movimento laterale e una comunicazione esterna minima per evitare di essere individuati.

FIN7, un gruppo di hacker motivato da interessi finanziari, ha evoluto le proprie tattiche incorporando sofisticate tecniche LOTL nelle campagne rivolte ai settori automobilistico e della vendita al dettaglio. Le loro operazioni dimostrano come i gruppi di criminali informatici adottino tecniche tipiche degli Stati nazionali per ottenere guadagni finanziari. Utilizzando backdoor basate su PowerShell e WMI per garantire la persistenza, FIN7 ha mantenuto un accesso a lungo termine ai sistemi di elaborazione dei pagamenti. Le loro campagne mettono in evidenza la convergenza tra tecniche criminali e di spionaggio, con LOTL che fornisce una sicurezza operativa precedentemente riservata agli attori statali.

Le organizzazioni sanitarie sono particolarmente vulnerabili agli attacchi LOTL, con costi medi di violazione pari a 10,93 milioni di dollari per ogni incidente che coinvolge queste tecniche. Gli ambienti IT complessi, i sistemi legacy e la natura critica del settore lo rendono un obiettivo appetibile. I gruppi di ransomware utilizzano sempre più spesso tecniche LOTL per l'accesso iniziale e il movimento laterale prima di distribuire payload di crittografia. I tempi di permanenza prolungati consentiti dalle tecniche LOTL permettono agli aggressori di identificare ed esfiltrare dati sensibili dei pazienti, massimizzando il potere di leva per le richieste di riscatto.

Gruppi di minacce persistenti avanzate come APT29 (Cozy Bear) e Stealth Falcon hanno perfezionato le tecniche LOTL fino a renderle quasi perfette. Le operazioni di APT29 dimostrano un uso magistrale di PowerShell, WMI e attività pianificate per una persistenza a lungo termine. Le recenti campagne di Stealth Falcon mostrano l'evoluzione delle tecniche LOTL cloud, sfruttando gli strumenti cloud per attacchi cross-tenant. Il successo di questi gruppi evidenzia come le tecniche LOTL consentano operazioni sostenute nonostante una maggiore consapevolezza difensiva.

Impatti specifici sul settore

Le organizzazioni sanitarie subiscono impatti catastrofici dagli attacchi LOTL a causa dei loro requisiti operativi specifici. I dispositivi medici che utilizzano sistemi Windows integrati non possono disabilitare facilmente PowerShell o implementare una rigorosa whitelist delle applicazioni senza interrompere l'assistenza ai pazienti. I sistemi di cartelle cliniche elettroniche (EHR) si affidano fortemente a PowerShell per l'automazione e l'integrazione, creando le condizioni ideali per l'abuso di LOTL. I requisiti normativi del settore in materia di disponibilità dei dati complicano ulteriormente la difesa, poiché misure di sicurezza aggressive potrebbero violare gli standard di assistenza ai pazienti.

I settori delle infrastrutture critiche devono affrontare minacce esistenziali derivanti dalle tecniche LOTL a causa degli ambienti tecnologici operativi (OT) in cui la disponibilità prevale sulla sicurezza. I sistemi di controllo industriale spesso utilizzano versioni obsolete di Windows con controlli di sicurezza limitati, rendendoli obiettivi primari per gli attacchi LOTL. La convergenza delle reti IT e OT amplia le superfici di attacco, mentre i sistemi legacy forniscono nascondigli perfetti per minacce persistenti. Volt Typhoon quinquennale Volt Typhoon dimostra come gli aggressori pazienti possano posizionarsi per operazioni di sabotaggio potenzialmente devastanti.

Le organizzazioni di servizi finanziari devono affrontare attacchi LOTL nonostante dispongano di programmi di sicurezza maturi. L'uso estensivo di PowerShell per l'automazione, gli ambienti Active Directory complessi e le numerose connessioni di terze parti creano numerose opportunità LOTL. Gli aggressori prendono di mira gli istituti finanziari non solo per furti diretti, ma anche per attacchi alla catena di fornitura contro i loro clienti. Il danno reputazionale derivante da attacchi LOTL riusciti può superare le perdite finanziarie dirette, in particolare quando vengono compromessi i dati dei clienti.

Rilevamento e prevenzione degli attacchi LOTL

Una difesa LOTL efficace richiede un cambiamento radicale dal rilevamento basato sulle firme all'analisi comportamentale e al rilevamento delle anomalie. Le organizzazioni devono stabilire linee guida complete sull'uso normale degli strumenti amministrativi, quindi segnalare le deviazioni che suggeriscono attività dannose. Questo approccio richiede una registrazione approfondita, analisi sofisticate e una comprensione approfondita dei modelli operativi legittimi. La sfida consiste nel distinguere tra amministrazione legittima e abuso dannoso quando entrambi utilizzano strumenti e tecniche identici.

La registrazione avanzata costituisce la base del rilevamento LOTL, ma la maggior parte delle organizzazioni non dispone di una visibilità adeguata su PowerShell, WMI e attività della riga di comando. La registrazione di PowerShell ScriptBlock acquisisce l'intero contenuto dello script, rivelando tentativi di offuscamento e payload dannosi. La registrazione delle attività WMI espone i meccanismi di persistenza e il movimento laterale. L'auditing dei processi della riga di comando fornisce il contesto per l'utilizzo di strumenti sospetti. Tuttavia, il volume di dati generati richiede analisi sofisticate per identificare le minacce senza sovraccaricare i team di sicurezza.

Le politiche di whitelisting e controllo delle applicazioni offrono una difesa preventiva contro le tecniche LOTL. Sebbene gli aggressori abusino di strumenti legittimi, limitarne l'uso al personale autorizzato e a contesti specifici riduce significativamente la superficie di attacco. La modalità PowerShell Constrained Language Mode limita le capacità di scripting preservando al contempo le funzionalità amministrative. Le politiche AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a criteri relativi a utente, percorso e editore. Questi controlli richiedono un'implementazione accurata per evitare di interferire con le operazioni legittime.

I principiZero trust forniscono una difesa completa contro le tecniche LOTL eliminando la fiducia implicita. Ogni esecuzione di strumenti, connessione di rete e accesso ai dati richiede una verifica esplicita indipendentemente dalla fonte. La microsegmentazione limita le opportunità di movimento laterale, mentre la gestione degli accessi privilegiati limita la disponibilità degli strumenti. zero trust riconosce che le difese perimetrali falliscono contro le tecniche LOTL, concentrandosi invece sul contenimento e il rilevamento delle attività dannose ovunque si verifichino.

Le piattaforme Extended Detection and Response (XDR) mettono in correlazione i segnali provenienti da endpoint, reti e cloud per identificare gli attacchi LOTL che interessano più sistemi. Analizzando in modo olistico i modelli di utilizzo degli strumenti, le comunicazioni di rete e il comportamento degli utenti, le soluzioni XDR sono in grado di identificare catene di attacchi che i singoli strumenti di sicurezza potrebbero non rilevare. Le funzionalità di rilevamento e risposta di rete si rivelano particolarmente preziose per identificare i movimenti laterali e le comunicazioni di comando e controllo generati dalle tecniche LOTL.

Tecniche di rilevamento

Gli indicatori di attacco (IOA) forniscono un rilevamento superiore delle tecniche LOTL rispetto ai tradizionali indicatori di compromissione (IOC). Mentre gli IOC si concentrano su artefatti specifici come hash di file o indirizzi IP, gli IOA identificano modelli comportamentali che suggeriscono attività dannose. Esempi includono l'esecuzione di PowerShell con comandi codificati, la creazione di processi remoti da parte di WMI o l'esecuzione di attività pianificate da directory temporanee. Il rilevamento basato su IOA si adatta alle variazioni delle tecniche, fornendo una difesa resiliente contro gli attacchi LOTL in continua evoluzione.

Le linee guida comportamentali stabiliscono modelli normali per l'utilizzo degli strumenti amministrativi, consentendo il rilevamento di attività anomale che suggeriscono attacchi LOTL. I team di sicurezza devono profilare l'utilizzo legittimo di PowerShell, i modelli di attività WMI e la creazione di attività pianificate tra diversi ruoli utente e sistemi. Gli algoritmi di apprendimento automatico possono identificare deviazioni da queste linee guida, segnalando potenziali attacchi da sottoporre a indagine. L'approccio richiede un continuo perfezionamento, poiché i modelli di utilizzo legittimo evolvono con le esigenze aziendali.

Le tecniche di rilevamento basate sulla memoria identificano gli attacchi LOTL che operano interamente nella memoria senza toccare il disco. Gli strumenti avanzati endpoint monitorano la memoria di processo alla ricerca di modelli sospetti come codice iniettato, caricamento di DLL riflettenti o PowerShell che ospita assembly .NET dannosi. Queste tecniche sono in grado di identificare attacchi LOTL sofisticati che gli antivirus tradizionali non riescono a rilevare. Tuttavia, l'analisi della memoria richiede risorse di elaborazione significative e competenze specifiche per essere implementata in modo efficace.

I metodi di rilevamento basati sull'intelligenza artificiale si dimostrano promettenti nell'identificare tecniche LOTL sofisticate che i sistemi basati su regole non riescono a individuare. I modelli di apprendimento automatico addestrati su vasti set di dati relativi all'uso legittimo e dannoso degli strumenti sono in grado di identificare modelli sottili che indicano attacchi. L'elaborazione del linguaggio naturale analizza gli script PowerShell alla ricerca di intenti dannosi, indipendentemente dall'offuscamento. I modelli di apprendimento profondo correlano più segnali deboli per ottenere un rilevamento delle minacce altamente affidabile. Le recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento LOTL, anche se la gestione dei falsi positivi rimane una sfida.

Migliori pratiche di prevenzione

Il principio del privilegio minimo riduce sostanzialmente la superficie di attacco LOTL limitando l'accesso agli strumenti agli utenti e ai sistemi che ne hanno bisogno per scopi legittimi. Gli utenti normali non dovrebbero avere accesso a PowerShell, mentre gli amministratori dovrebbero utilizzare account separati per le attività amministrative. Gli account di servizio richiedono autorizzazioni minime su misura per funzioni specifiche. L'implementazione dell'accesso just-in-time per gli strumenti amministrativi riduce ulteriormente le finestre di esposizione. Questo approccio riconosce che non tutti hanno bisogno di accedere a potenti strumenti di sistema che gli aggressori potrebbero sfruttare.

Le configurazioni di sicurezza di PowerShell influiscono in modo significativo sul successo degli attacchi LOTL. La modalità linguistica limitata impedisce la maggior parte delle tecniche PowerShell dannose, preservando al contempo le funzionalità amministrative. Le politiche di esecuzione, pur non costituendo barriere di sicurezza, aumentano la difficoltà degli attacchi. I requisiti di firma del codice garantiscono l'esecuzione solo degli script approvati. L'integrazione dell'interfacciaMalware (AMSI) consente l'analisi degli script in tempo reale. Queste configurazioni richiedono test accurati per evitare di interferire con l'automazione legittima.

Le politiche di controllo delle applicazioni creano barriere difensive contro le tecniche LOTL. Le politiche di restrizione software, AppLocker o Windows Defender Application Control limitano l'esecuzione degli strumenti in base a vari criteri. Le politiche possono limitare PowerShell a utenti specifici, restringere l'uso di WMI agli amministratori autorizzati o impedire l'esecuzione da directory temporanee. L'implementazione richiede un inventario completo dell'uso legittimo degli strumenti per evitare interruzioni dell'attività. Gli aggiornamenti regolari delle politiche consentono di adattarsi a nuovi casi d'uso legittimi, mantenendo al contempo la sicurezza.

La segmentazione della rete limita le opportunità di movimento laterale LOTL restringendo la comunicazione tra i sistemi. Le risorse critiche dovrebbero risiedere in segmenti di rete isolati con controlli di accesso rigorosi. L'ispezione del traffico est-ovest identifica l'uso sospetto di strumenti che attraversano i confini dei segmenti. La microsegmentazione estende questo concetto all'isolamento dei singoli carichi di lavoro. L'approccio contiene attacchi LOTL riusciti, impedendo la compromissione a livello aziendale da violazioni di singoli sistemi.

Esercizi del Purple Team

La simulazione di attacchi LOTL convalida le capacità di rilevamento e identifica le lacune difensive prima che si verifichino attacchi reali. Le esercitazioni del Purple Team dovrebbero replicare le tecniche LOTL effettivamente osservate sul campo, testando il rilevamento e la risposta lungo l'intera catena di attacco. Le simulazioni potrebbero includere cradle di download PowerShell, persistenza WMI e creazione di attività pianificate. Ogni esercitazione fornisce dati preziosi per la messa a punto delle regole di rilevamento e la formazione dei team di sicurezza.

I metodi di convalida del rilevamento garantiscono che i controlli di sicurezza identifichino efficacemente le tecniche LOTL senza generare un numero eccessivo di falsi positivi. I team dovrebbero testare le regole di rilevamento sia rispetto all'uso di strumenti dannosi che legittimi, misurando i tassi di rilevamento e i rapporti di falsi positivi. I framework di test automatizzati possono convalidare continuamente le capacità di rilevamento al variare degli ambienti. Il processo di convalida rivela i punti ciechi del rilevamento che richiedono controlli aggiuntivi o modifiche alla configurazione.

I cicli di miglioramento continuo perfezionano le difese LOTL sulla base dei risultati delle esercitazioni e delle minacce emergenti. Ogni esercitazione del purple team genera insegnamenti utili per migliorare le capacità di prevenzione, rilevamento e risposta. I team di sicurezza dovrebbero monitorare metriche quali il tempo medio di rilevamento e i tassi di falsi positivi nel tempo. Una rivalutazione periodica garantisce che le difese si evolvano di pari passo con le tecniche degli aggressori. L'approccio iterativo riconosce che la difesa LOTL richiede un perfezionamento continuo piuttosto che un'implementazione una tantum.

LOTL e quadri di conformità

Le tecniche LOTL corrispondono a diverse tecniche MITRE ATT&CK , che richiedono una copertura completa dell'intero ciclo di vita dell'attacco. L'esecuzione di proxy binari di sistema (T1218) comprende tecniche come l'abuso di rundll32 e regsvr32 per eludere le difese. Il comando e l'interprete di script (T1059) copre l'abuso di PowerShell, cmd e altri interpreti. Windows Management Instrumentation (T1047) affronta gli attacchi basati su WMI. Scheduled Task/Job (T1053) include la persistenza attraverso la pianificazione delle attività. Ogni tecnica richiede strategie di rilevamento e mitigazione specifiche.

I controlli del quadro di riferimento per la sicurezza informatica del NIST forniscono una difesa strutturata contro gli attacchi LOTL. DE.AE-3 richiede l'aggregazione e la correlazione degli eventi per identificare i modelli di attacco LOTL su più sistemi. DE.CM-1 impone il monitoraggio della rete per rilevare i movimenti laterali e le comunicazioni di comando e controllo. DE.CM-7 si concentra sul monitoraggio di software e connessioni non autorizzati generati dalle tecniche LOTL. Questi controlli costituiscono una strategia di rilevamento completa se implementati correttamente.

L'allineamento dei controlli CIS garantisce misure di sicurezza fondamentali che riducono il successo degli attacchi LOTL. Il controllo 2 (Inventario e controllo delle risorse software) identifica gli strumenti non autorizzati che gli aggressori potrebbero utilizzare in modo improprio. Il controllo 4 (Uso controllato dei privilegi amministrativi) limita l'accesso ai potenti LOLBin. Il controllo 6 (Manutenzione, monitoraggio e analisi dei registri di audit) consente il rilevamento LOTL attraverso una registrazione completa. Il controllo 8 (Malware ) dovrebbe includere funzionalità di rilevamento specifiche per LOTL.

I principiZero Trust forniscono il framework più completo per la difesa LOTL. La filosofia "non fidarti mai, verifica sempre" si applica perfettamente agli strumenti di sistema a duplice uso. Ogni esecuzione di PowerShell, query WMI o creazione di attività pianificate richiede una verifica esplicita indipendentemente dalla fonte. La verifica continua garantisce che anche le credenziali legittime non possano consentire attacchi LOTL senza restrizioni. Zero trust che le difese perimetrali tradizionali falliscono contro gli aggressori che utilizzano strumenti legittimi dall'interno della rete.

MITRE ATT&CK

Il MITRE ATT&CK guida le strategie di difesa LOTL. Ogni tecnica include descrizioni dettagliate, esempi reali, raccomandazioni per il rilevamento e strategie di mitigazione. I team di sicurezza dovrebbero mappare i rischi LOTL del proprio ambiente alle tecniche pertinenti, dando priorità alle difese in base alle informazioni sulle minacce e ai fattori ambientali. La natura dinamica del framework garantisce che la copertura si evolva con le tecniche LOTL emergenti.

Le raccomandazioni di rilevamento per le tecniche LOTL enfatizzano il monitoraggio comportamentale rispetto agli approcci basati sulle firme. Per T1218 (Esecuzione proxy binaria di sistema), monitorare la creazione di processi per individuare relazioni padre-figlio sospette e parametri della riga di comando. Il rilevamento T1059 (Interprete di comandi e script) si concentra su comandi codificati, contenuti di script sospetti e utilizzo insolito dell'interprete. Il rilevamento T1047 (WMI) richiede la registrazione delle attività WMI e l'analisi dei meccanismi di persistenza WMI. Il rilevamento T1053 (attività pianificate) monitora i modelli di creazione, modifica ed esecuzione delle attività.

Le strategie di mitigazione prevedono controlli preventivi a più livelli per ridurre la superficie di attacco LOTL. La prevenzione dell'esecuzione tramite whitelist delle applicazioni blocca l'uso non autorizzato degli strumenti. La gestione degli account privilegiati limita chi può accedere agli strumenti amministrativi. La configurazione delle politiche di audit garantisce una registrazione completa per il rilevamento. La segmentazione della rete contiene gli attacchi riusciti. Le funzionalità di protezione dagli exploit in Windows 10 e versioni successive forniscono ulteriori barriere contro specifiche tecniche LOTL. L'approccio a più livelli riconosce che nessun singolo controllo è in grado di fermare tutti gli attacchi LOTL.

Approcci moderni alla difesa LOTL

Il rilevamento comportamentale basato sull'intelligenza artificiale rappresenta la tecnologia più avanzata nella difesa LOTL, sfruttando l'apprendimento automatico per identificare modelli di attacco sottili. Le piattaforme moderne analizzano milioni di eventi per stabilire un comportamento di base, quindi identificano anomalie che suggeriscono attacchi LOTL. Questi sistemi mettono in correlazione segnali deboli tra endpoint, reti e cloud , identificando catene di attacchi che gli strumenti tradizionali non riescono a rilevare. L'approccio basato sull'intelligenza artificiale si adatta alle tecniche in evoluzione senza richiedere aggiornamenti costanti delle regole, fornendo una difesa resiliente contro nuove varianti LOTL.

Le piattaforme di sicurezza Cloud affrontano le sfide specifiche legate al rilevamento delle attività LOTL cloud . Queste soluzioni monitorano le chiamate cloud , analizzano l'utilizzo degli strumenti cloud e correlano le attività tracloud . Comprendono i modelli di utilizzo legittimo di strumenti come AWS CLI e Azure PowerShell, identificando gli abusi che gli strumenti di sicurezza tradizionali non riescono a rilevare. L'integrazione con i servizi di sicurezza cloud consente una visibilità completa sia a livello di infrastruttura che di applicazioni.

La ricerca automatizzata delle minacce rivoluziona il rilevamento LOTL grazie alla ricerca continua di indicatori di attacco senza intervento umano. Questi sistemi eseguono sofisticate query di ricerca, analizzano i risultati e segnalano i risultati sospetti per ulteriori indagini. Sono in grado di identificare tecniche LOTL come un utilizzo insolito di PowerShell, attività WMI sospette o attività pianificate anomale su migliaia di sistemi contemporaneamente. L'automazione consente un rilevamento proattivo delle minacce su una scala impossibile da raggiungere con la ricerca manuale.

Il rilevamento delle anomalie tramite apprendimento automatico, specificamente ottimizzato per le tecniche LOTL, mostra risultati molto promettenti. I modelli addestrati su vasti set di dati relativi all'uso legittimo e dannoso degli strumenti sono in grado di identificare gli attacchi con elevata precisione, riducendo al minimo i falsi positivi. Le recenti implementazioni riportano un miglioramento del 47% nei tassi di rilevamento rispetto ai sistemi basati su regole. La tecnologia continua ad evolversi, con modelli più recenti che incorporano l'elaborazione del linguaggio naturale per l'analisi degli script e reti neurali grafiche per la comprensione delle relazioni tra gli attacchi.

L'integrazione di NDR, EDR e XDR crea una visibilità LOTL completa in tutta l'azienda. Endpoint identifica l'esecuzione degli strumenti e il comportamento dei processi. Il rilevamento della rete rivela i movimenti laterali e le comunicazioni di comando e controllo. Il rilevamento esteso correla i segnali provenienti da tutte le fonti, identificando catene di attacchi complesse. Questo approccio integrato garantisce che nessuna singola tecnica LOTL possa eludere il rilevamento operando in punti ciechi del monitoraggio.

Come Vectra AI il rilevamento LOTL

Vectra AI il rilevamento LOTL attraverso Attack Signal Intelligence™, utilizzando l'analisi comportamentale basata sull'intelligenza artificiale per identificare l'uso dannoso di strumenti legittimi su reti, cloud e domini di identità. Anziché affidarsi a firme o regole che diventano rapidamente obsolete, la piattaforma apprende i modelli di comportamento normali e identifica le deviazioni che indicano attacchi LOTL. Questo approccio si rivela particolarmente efficace contro le tecniche LOTL, poiché si concentra sul comportamento degli aggressori piuttosto che su strumenti o tecniche specifici.

Il rilevamento integrato della piattaforma in ambienti ibridi garantisce una visibilità completa delle minacce LOTL. Che gli aggressori utilizzino PowerShell in locale, abusino della CLI AWS nel cloud o sfruttino Azure AD per ottenere persistenza, Vectra AI queste attività in una narrazione unificata dell'attacco. Questa visione olistica rivela catene di attacchi LOTL che potrebbero sembrare innocue se considerate isolatamente, ma che indicano chiaramente attività dannose se correlate. L'approccio riconosce che i moderni attacchi LOTL si estendono su più ambienti e richiedono un rilevamento integrato per essere identificati in modo efficace.

Tendenze future e considerazioni emergenti

Il panorama della sicurezza informatica continua a evolversi rapidamente, con le tecniche LOTL (Living Off the Land) in prima linea tra le sfide emergenti. Nei prossimi 12-24 mesi, le organizzazioni dovranno prepararsi a diversi sviluppi chiave che ridefiniranno il modo in cui vengono condotti gli attacchi LOTL e la difesa contro di essi.

Le tecniche LOTL Cloud prolifereranno man mano che le organizzazioni proseguiranno il loro percorso cloud . Gli aggressori stanno sviluppando metodi sofisticati per abusare dei piani cloud , delle piattaforme di elaborazione serverless e degli strumenti di orchestrazione dei container. Prevediamo un aumento dello sfruttamento degli strumenti Infrastructure as Code (IaC) come Terraform e CloudFormation per la persistenza e il movimento laterale. Il modello di responsabilità condivisa cloud crea lacune che gli aggressori sfrutteranno sempre più utilizzando strumenti cloud legittimi.

L'intelligenza artificiale trasformerà sia gli attacchi LOTL che le difese. Gli aggressori utilizzeranno l'IA per scoprire automaticamente nuove tecniche LOLBin, generare script polimorfici che eludono il rilevamento e ottimizzare i percorsi di attacco attraverso gli ambienti. Al contrario, i difensori sfrutteranno l'IA per migliorare l'analisi comportamentale, la ricerca automatizzata delle minacce e la modellazione predittiva delle minacce. Questa corsa agli armamenti dell'IA accelererà il ritmo dell'evoluzione delle tecniche LOTL, richiedendo un continuo adattamento delle strategie difensive.

I quadri normativi richiederanno probabilmente specifiche capacità di rilevamento LOTL, in particolare per i settori delle infrastrutture critiche. A seguito di attacchi di alto profilo come Volt Typhoon, i governi stanno riconoscendo che i tradizionali quadri di conformità non sono in grado di affrontare adeguatamente le minacce LOTL. Le organizzazioni dovrebbero prepararsi a requisiti relativi alla registrazione di PowerShell, all'implementazione di analisi comportamentali e a programmi obbligatori di ricerca delle minacce. Il panorama normativo sarà probabilmente frammentato a livello globale, creando sfide di conformità per le organizzazioni multinazionali.

Gli attacchi LOTL alla catena di approvvigionamento aumenteranno man mano che gli aggressori riconosceranno l'effetto moltiplicatore derivante dalla compromissione dei fornitori di software e dei fornitori di servizi gestiti. Questi attacchi utilizzeranno tecniche LOTL per mantenere la furtività mentre si spostano dai punti di compromissione iniziali agli obiettivi a valle. L'attacco SolarWinds ha dimostrato questo potenziale e le campagne future perfezioneranno queste tecniche. Le organizzazioni devono estendere il rilevamento LOTL per includere l'accesso di terze parti e i meccanismi di aggiornamento del software.

Gli sviluppi nel campo dell'informatica quantistica potrebbero alla fine avere un impatto sulle difese LOTL, in particolare per quanto riguarda le protezioni crittografiche e le comunicazioni sicure. Sebbene le minacce legate all'informatica quantistica siano ancora lontane anni luce, potrebbero emergere prima attacchi ibridi che combinano tecniche LOTL classiche con la crittanalisi assistita dalla quantistica. Le organizzazioni dovrebbero iniziare a pianificare la migrazione alla crittografia post-quantistica, mantenendo al contempo solide difese LOTL.

Conclusione

Gli attacchi Living off the Land rappresentano un cambiamento fondamentale nel panorama delle minacce informatiche, che rende obsoleti gli approcci tradizionali alla sicurezza. Con l'84% degli attacchi ad alta gravità che ora impiega queste tecniche e gli autori delle minacce che mantengono una persistenza non rilevata per anni, le organizzazioni non possono più fare affidamento su difese basate su firme o sulla sicurezza perimetrale. La sfida non è solo tecnica, ma anche filosofica, e richiede ai team di sicurezza di ripensare il loro intero approccio al rilevamento e alla prevenzione delle minacce.

Il percorso da seguire richiede una combinazione di maggiore visibilità, analisi comportamentale e zero trust . Le organizzazioni devono implementare una registrazione completa delle attività di PowerShell, WMI e della riga di comando, implementando al contempo analisi avanzate per identificare modelli anomali. Le politiche di controllo delle applicazioni e la gestione degli accessi privilegiati riducono la superficie di attacco, mentre la segmentazione della rete contiene le violazioni riuscite. È fondamentale che i team di sicurezza passino da un approccio reattivo a uno proattivo, implementando una ricerca continua delle minacce ed esercitazioni purple team per convalidare le difese.

La natura in continua evoluzione delle tecniche LOTL, in particolare cloud e attraverso attacchi potenziati dall'intelligenza artificiale, significa che questa sfida è destinata a intensificarsi. Le organizzazioni che non riescono ad adattare le proprie difese rischiano di aggiungersi alla lista sempre più lunga delle vittime che subiscono violazioni multimilionarie e interruzioni operative. Tuttavia, quelle che adottano il rilevamento comportamentale, implementano zero trust e mantengono un monitoraggio vigile possono difendersi efficacemente anche dalle campagne LOTL più sofisticate.

La domanda non è se la tua organizzazione dovrà affrontare attacchi LOTL, ma se sarai pronto quando arriveranno. Inizia valutando la tua attuale visibilità sull'utilizzo degli strumenti amministrativi, implementa una registrazione avanzata e analisi comportamentali e considera come piattaforme come Attack Signal Intelligence™Vectra AI possano fornire il rilevamento integrato necessario per identificare queste minacce invisibili. In un'era in cui gli aggressori vivono sul tuo territorio, la tua difesa deve essere altrettanto adattabile e intelligente.