Living off the Land, se il miglior nascondiglio è in piena vista

Approfondiamo i passaggi salienti del recente Internet Security Threat Report 2019, a cura di Symantec, nel quale viene tratteggiata l’ascesa di un fenomeno sempre più frequente e a tratti sorprendente: parliamo di ‘Living off the Land’.

Misure di sicurezza sempre più stringenti hanno costretto i cybercriminali a rivedere le proprie strategie, riportando alla ribalta tecniche di intromissione che non prevedono l’utilizzo di codice malevolo, bensì di tool presenti su ogni computer.

Una panoramica generale

Quella che di primo acchito appare come un’espressione che rimandi a scenari bucolici, cela in realtà un fenomeno con risvolti tutt’altro che legati al territorio e i suoi frutti.
Infatti, per Living off the Land (d’ora in poi LotL) si intende un modo di concepire l’attacco informatico radicalmente differente rispetto a ciò a cui siamo abituati: “fuori” malware ad hoc o vulnerabilità più o meno note di programmi e sistemi operativi, “dentro” risorse che ogni computer moderno possiede nativamente (di qui l’analogia anglosassone “vivere dei prodotti della terra”).
Lo stratagemma sta per l’appunto nel violare un’infrastruttura senza aggiungere dall’esterno alcuno strumento terzo ed utilizzando in loro vece gli stessi programmi impiegati da chi la rete la gestisce.
Tra i tool più gettonati troviamo: Script PowerShell & VB, WMI, Mimikatz e PsExec. Si capisce che di questo modo, quand’anche si venga a conoscenza di un’incursione in atto, sia difficile discriminare tra azioni benigne e maligne sulla rete.
Ne esistono di quattro tipologie:

• Dual-use tools
• Memory only threats
• Fileless persistence
• Non-PE file attack

Sebbene il concetto non sia nuovo e worm memory-only come Code Red (risalente addirittura al 2001) lo testimonino, negli ultimi anni si è assistito ad un incremento decisivo di attacchi LotL.
Il perché dietro il ritorno “alle origini”
Le ragioni per le quali si sta prediligendo sempre di più questa strategia la dicono lunga sui progressi in materia di sicurezza informatica.
Nel bollettino annuale di sicurezza ISTR24 diramato da Symantec, la motivazione principale addotta è tanto spiazzante, quanto paradossalmente comprensibile… i miglioramenti continui dei browser moderni, così come la buona pratica delle bug bounty indette direttamente dalle softwarehouse hanno fatto terra bruciata attorno agli attacker, i quali hanno sempre più difficoltà a scovare nuove vulnerabilità.
Ci vogliono sempre più tempo e risorse per portarle a galla: in altre parole, non rendono. E’ accertato che gli attacchi a base exploit gravitino sempre più attorno al concetto 0-day, a riconferma del fatto che, al contrario di soli pochi anni fa, le falle obsolete non sono più praticabili (leggi: redditizie).
Una seconda ragione è da ricercare nella necessità da parte dell’attaccante di tenere un basso profilo.
Rispetto a un’offensiva tradizionale (talvolta intenzionalmente invasiva, si pensi ad esempio a Cryptolocker), l’identificazione di un attacco LotL in atto è resa difficoltosa proprio dall’impiego di soluzioni standard; fattore che permette di offuscare le operazioni illecite nel flusso di attività regolare di gestione dell’infrastruttura.
E anche nel caso si venisse a conoscenza della violazione, la sua analisi retroattiva risulterebbe ancor più ardua: se in genere è facile risalire al gruppo hacker a seconda del malware che viene dispiegato, l’abuso di strumenti generici preclude a prescindere questa opportunità.
Come funziona?
Uno dei più celebri attacchi Living off the Land è stato Petya/NotPetya.
Nelle sue fasi iniziale il malware si è diffuso attraverso un supply chain attack. compromettendo innumerevoli sistemi in Ucraina. L’approccio LotL è stato altresì applicato in un secondo momento sia per propagare il ransomware attraverso le reti, sia per scansionare terminali e risorse di rete alla ricerca di dati riservati.
Ecco l’iter tipico seguito dagli esecutori (vedi anche immagine):

1. Incursione
   Viene ottenuta con l’exploit di una vulnerabilità RCE, alla quale segue l’esecuzione di codice malevolo direttamente in memoria. Solitamente si tratta di un’email contenente un allegato infetto. Successivamente ci possono essere ulteriori passaggi intermedi che prevedano l’utilizzo di downloader o eseguibili auto-decriptanti sempre con tecniche LotL. Un’altra tecnica è quella di prendere il controllo di strumenti di sistema, accedendovi abusivamente con credenziali rubate (o ottenute tramite Brute force attack).

2. Persistenza
   Una volta che il computer è compromesso, la realizzazione della persistenza della minaccia viene ottenuta non necessariamente con procedure LotL. Talvolta, a seconda dell’obiettivo dall’aggressore, la persistenza non viene prevista del tutto.

3. Payload
   E’ in quest’ultima fase che poi vengono usati i Dual-use tools

Come difendersi

Infine, ecco le contromisure da adottare per questo tipo di minaccia:

• Tenere monitorato l’utilizzo di Dual-use tool all’interno della propria rete

• Applicare una whitelist alle applicazioni

• Massima attenzione alle email provenienti da mittenti sconosciuti e/o con contenuti sospetti

• Diffidare da allegati Office, specialmente se all’apertura richiedono di abilitare le funzionalità macro

• Applicare sempre gli aggiornamenti al sistema operativo ed ai software installati

• Abilitare sistemi di sicurezza avanzati per gli account impiegati in azienda, se disponibili (es. autenticazione 2FA)

• Usare password complesse

• Disconnettersi dal computer a fine sessione

• Evitare l’utilizzo di applicazioni che trasmettono informazioni sensibili o di accedere ad account online attraverso reti Wifi pubbliche

• Scaricare applicazioni di terze parti solo dagli store ufficiali

Fonti: Symantec ISTR24, Attackers are increasingly living off the land, What is Living off the Land?