Living off the Land, se il miglior nascondiglio è in piena vista

Tecniche di intromissione che non prevedono l’utilizzo di codice malevolo, bensì di tool presenti su ogni computer.

Tabella dei Contenuti

Approfondiamo i passaggi salienti del recente Internet Security Threat Report 2019, a cura di Symantec, nel quale viene tratteggiata l’ascesa di un fenomeno sempre più frequente e a tratti sorprendente: parliamo di ‘Living off the Land’.

Misure di sicurezza sempre più stringenti hanno costretto i cybercriminali a rivedere le proprie strategie, riportando alla ribalta tecniche di intromissione che non prevedono l’utilizzo di codice malevolo, bensì di tool presenti su ogni computer.

 

Una panoramica generale

Quella che di primo acchito appare come un’espressione che rimandi a scenari bucolici, cela in realtà un fenomeno con risvolti tutt’altro che legati al territorio e i suoi frutti.
Infatti, per Living off the Land (d’ora in poi LotL) si intende un modo di concepire l’attacco informatico radicalmente differente rispetto a ciò a cui siamo abituati: “fuori” malware ad hoc o vulnerabilità più o meno note di programmi e sistemi operativi, “dentro” risorse che ogni computer moderno possiede nativamente (di qui l’analogia anglosassone “vivere dei prodotti della terra”).
Lo stratagemma sta per l’appunto nel violare un’infrastruttura senza aggiungere dall’esterno alcuno strumento terzo ed utilizzando in loro vece gli stessi programmi impiegati da chi la rete la gestisce.
Tra i tool più gettonati troviamo: Script PowerShell & VB, WMI, Mimikatz e PsExec. Si capisce che di questo modo, quand’anche si venga a conoscenza di un’incursione in atto, sia difficile discriminare tra azioni benigne e maligne sulla rete.
Ne esistono di quattro tipologie:

  • Dual-use tools
  • Memory only threats
  • Fileless persistence
  • Non-PE file attack

Sebbene il concetto non sia nuovo e worm memory-only come Code Red (risalente addirittura al 2001) lo testimonino, negli ultimi anni si è assistito ad un incremento decisivo di attacchi LotL.
Il perché dietro il ritorno “alle origini”
Le ragioni per le quali si sta prediligendo sempre di più questa strategia la dicono lunga sui progressi in materia di sicurezza informatica.
Nel bollettino annuale di sicurezza ISTR24 diramato da Symantec, la motivazione principale addotta è tanto spiazzante, quanto paradossalmente comprensibile… i miglioramenti continui dei browser moderni, così come la buona pratica delle bug bounty indette direttamente dalle softwarehouse hanno fatto terra bruciata attorno agli attacker, i quali hanno sempre più difficoltà a scovare nuove vulnerabilità.
Ci vogliono sempre più tempo e risorse per portarle a galla: in altre parole, non rendono. E’ accertato che gli attacchi a base exploit gravitino sempre più attorno al concetto 0-day, a riconferma del fatto che, al contrario di soli pochi anni fa, le falle obsolete non sono più praticabili (leggi: redditizie).
Una seconda ragione è da ricercare nella necessità da parte dell’attaccante di tenere un basso profilo.
Rispetto a un’offensiva tradizionale (talvolta intenzionalmente invasiva, si pensi ad esempio a Cryptolocker), l’identificazione di un attacco LotL in atto è resa difficoltosa proprio dall’impiego di soluzioni standard; fattore che permette di offuscare le operazioni illecite nel flusso di attività regolare di gestione dell’infrastruttura.
E anche nel caso si venisse a conoscenza della violazione, la sua analisi retroattiva risulterebbe ancor più ardua: se in genere è facile risalire al gruppo hacker a seconda del malware che viene dispiegato, l’abuso di strumenti generici preclude a prescindere questa opportunità.
Come funziona?
Uno dei più celebri attacchi Living off the Land è stato Petya/NotPetya.
Nelle sue fasi iniziale il malware si è diffuso attraverso un supply chain attack. compromettendo innumerevoli sistemi in Ucraina. L’approccio LotL è stato altresì applicato in un secondo momento sia per propagare il ransomware attraverso le reti, sia per scansionare terminali e risorse di rete alla ricerca di dati riservati.
Ecco l’iter tipico seguito dagli esecutori (vedi anche immagine):

  1. Incursione
    Viene ottenuta con l’exploit di una vulnerabilità RCE, alla quale segue l’esecuzione di codice malevolo direttamente in memoria. Solitamente si tratta di un’email contenente un allegato infetto. Successivamente ci possono essere ulteriori passaggi intermedi che prevedano l’utilizzo di downloader o eseguibili auto-decriptanti sempre con tecniche LotL. Un’altra tecnica è quella di prendere il controllo di strumenti di sistema, accedendovi abusivamente con credenziali rubate (o ottenute tramite Brute force attack).

  2. Persistenza
    Una volta che il computer è compromesso, la realizzazione della persistenza della minaccia viene ottenuta non necessariamente con procedure LotL. Talvolta, a seconda dell’obiettivo dall’aggressore, la persistenza non viene prevista del tutto.

  3. Payload
    E’ in quest’ultima fase che poi vengono usati i Dual-use tools

Come difendersi

Infine, ecco le contromisure da adottare per questo tipo di minaccia:

  • Tenere monitorato l’utilizzo di Dual-use tool all’interno della propria rete

  • Applicare una whitelist alle applicazioni

  • Massima attenzione alle email provenienti da mittenti sconosciuti e/o con contenuti sospetti

  • Diffidare da allegati Office, specialmente se all’apertura richiedono di abilitare le funzionalità macro

  • Applicare sempre gli aggiornamenti al sistema operativo ed ai software installati

  • Abilitare sistemi di sicurezza avanzati per gli account impiegati in azienda, se disponibili (es. autenticazione 2FA)

  • Usare password complesse

  • Disconnettersi dal computer a fine sessione

  • Evitare l’utilizzo di applicazioni che trasmettono informazioni sensibili o di accedere ad account online attraverso reti Wifi pubbliche

  • Scaricare applicazioni di terze parti solo dagli store ufficiali

Fonti: Symantec ISTR24Attackers are increasingly living off the landWhat is Living off the Land?

Se ti è piaciuto condividici sui tuoi social preferiti :

Iscriviti alla newsletter

Articoli correlati

Digitalizzare il magazzino: i requisiti essenziali di un WMS di successo nel 2025

Il mondo della produzione è in continua evoluzione, e la digitalizzazione dei processi rappresenta una leva strategica per garantire competitività e crescita sostenibile. Al centro di questa trasformazione digitale c’è il magazzino, cuore pulsante della logistica aziendale. Un Sistema di Gestione Magazzino o Warehouse Management System (WMS) efficace è diventato indispensabile per ottimizzare le operazioni, ridurre i costi e migliorare la customer satisfaction.

Read More

L’Evoluzione dell’Industria 4.0 in Italia: Cambiamenti Misurabili e Futuri Orizzonti

La trasformazione del manifatturiero italiano prosegue, sfidando le imprese a guardare oltre le difficoltà attuali per sfruttare appieno le potenzialità delle tecnologie 4.0. Nonostante le sfide legate alla sicurezza e alle competenze, il settore si affaccia sul 2025 con una visione di crescita sostenibile e tecnologicamente avanzata, destinata a consolidare il ruolo dell’Italia come protagonista nella nuova era industriale.

Read More

La Digitalizzazione del Magazzino con il WMS

Nel panorama competitivo odierno, la digitalizzazione dei processi aziendali non è più un’opzione, ma una necessità. Questo cambiamento ha trasformato profondamente il modo di lavorare in vari settori, e la logistica non fa eccezione. Il Warehouse Management System (WMS), o sistema di gestione del magazzino, si sta affermando come uno degli strumenti fondamentali per ottimizzare le operazioni e migliorare l’efficienza di distributori, rivenditori, grossisti e aziende e-commerce.

Read More

L’IA nelle PMI Italiane: Opportunità e Soluzioni con SIVAF Informatica

L’intelligenza artificiale (IA) sta emergendo come una risorsa fondamentale per le piccole e medie imprese (PMI) italiane, offrendo la possibilità di automatizzare processi chiave, migliorare l’efficienza operativa e aumentare la competitività. Grazie all’adozione di soluzioni tecnologiche avanzate, anche le PMI, spesso caratterizzate da risorse limitate, possono ora beneficiare di strumenti di intelligenza artificiale per trasformare il loro business. 

Read More

Il valore del software CMMS SiSuite per le aziende di manutenzione conto terzi

Nel settore della manutenzione conto terzi, l’efficienza operativa e la capacità di garantire un servizio di qualità elevata sono fattori determinanti per il successo aziendale. Le imprese di manutenzione devono essere in grado di gestire una molteplicità di clienti, ognuno con esigenze e tempistiche diverse, coordinare squadre tecniche in mobilità e rispondere tempestivamente alle richieste di intervento.

Read More
Exit mobile version