Scopri anche

• Attacchi Living-off-the-Land: Tecniche e Difese con Strumenti di Sistema
• Problemi di Arresto e Riavvio in Windows 11: Diagnosi e Soluzioni
• Problemi di arresto e riavvio in Windows 11: cause e soluzioni
• Patch Tuesday: Perché Microsoft Rilascia Gli Aggiornamenti Sempre Il Secondo Martedì Del Mese
• Intel rilascia i nuovi driver Arc GPU: supporto per giochi e API grafiche aggiornate
• Microsoft lavora all'emulazione Xbox ufficiale per PC Windows e dispositivi handheld
• Problemi Windows 10 e 11: Patch Straordinarie e Disconnessioni Desktop Remoto
• Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
• Windows 11: perché gli aggiornamenti sono diventati più pesanti con la 25H2
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• Windows 11: come risolvere il rallentamento dopo l'aggiornamento KB5072033
• Vulnerabilità critica in Samsung Magician: aggiornamento urgente alla versione 9.0.0
• Vulnerabilità critica in Samsung Magician: corretta con l'aggiornamento 9.0.0
• Problemi di riconoscimento SSD Samsung su Windows: cause e soluzioni

Attacchi Living-off-the-Land: tecnica, sfide e mitigazioni

Attacchi Living-off-the-Land: tecnica, sfide e mitigazioni

Nell'ambito della sicurezza informatica, gli attacchi "Living-off-the-Land" (LotL) sono diventati sempre più difficili da rilevare. Questi attacchi consentono agli attaccanti di muoversi furtivamente all'interno di una rete sfruttando strumenti di sistema legittimi, come PowerShell, WMI o le macro di Office, invece di affidarsi a malware esterni. Le misure di sicurezza tradizionali faticano a identificarli, proprio perché fanno leva su strumenti affidabili e provvisti di firma digitale. I criminali informatici apprezzano gli attacchi LotL perché eludono il rilevamento e riducono il rischio di essere rintracciati, aumentando le probabilità di successo di una violazione e consentendo agli attaccanti di rimanere nascosti per un periodo di tempo più lungo.

La metodologia Living-off-the-Land Binaries (LOLBins)

⬆ Torna su

L'utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa, che sfrutta binari legittimi del sistema operativo per condurre attività malevole. Questi binari, oltre a essere firmati digitalmente dai produttori di software legittimi, godono di privilegi elevati e accesso diretto alle API di sistema critiche. La loro legittimità intrinseca permette di bypassare i controlli di integrità del codice e le whitelist applicative. L'architettura tecnica degli attacchi basati su LOLBins si articola su diversi livelli di sofisticazione, dall'abuso di funzionalità native di binari come certutil.exe per il download di payload, all'orchestrazione attraverso tecniche di process hollowing e code injection utilizzando rundll32.exe.

Un caso concreto: l'attacco agli uffici ucraini

⬆ Torna su

Le organizzazioni ucraine sono recentemente state bersaglio di sofisticati attacchi informatici da parte di gruppi hacker di origine russa che hanno utilizzato tecniche living-off-the-land. Queste campagne hanno avuto come obiettivo l’esfiltrazione di dati sensibili e il mantenimento di un accesso persistente alle reti compromesse. L’accesso iniziale è stato ottenuto tramite l’installazione di web shell su server esposti online. La compromissione è iniziata con attività sospette come la creazione di web shell e azioni di ricognizione. Gli attaccanti hanno lanciato comandi PowerShell per escludere cartelle dalla scansione dell’antivirus e hanno schedulato dump di memoria. La strategia si è basata sull’impiego minimo di malware, prediligendo strumenti nativi di Windows e software dual-use.

Tecniche di evasione degli Endpoint Detection and Response (EDR)

⬆ Torna su

Gli Endpoint Detection and Response (EDR) rappresentano l'ultima linea di difesa, ma le tecniche basate su LOLBins hanno sviluppato metodologie raffinate per eluderli. L’evasione degli EDR si articola attraverso strategie sofisticate che sfruttano le limitazioni intrinseche dei sistemi di monitoraggio. Tra queste vi sono il Process Tampering e Hook Evasion, che prevedono la ricostruzione delle tabelle IAT per eludere il monitoraggio; il Parent Process ID Spoofing, per falsificare il PPID di processi malevoli; e la DLL Search Order Manipulation per l'hijacking del flusso di esecuzione. Tecniche avanzate come Atom Bombing e Thread Execution Hijacking sfruttano meccanismi di comunicazione inter-processo legittimi.

La risposta difensiva con WatchGuard Advanced EPDR

⬆ Torna su

Per implementare con successo strategie difensive, soluzioni come WatchGuard Advanced EPDR offrono funzionalità che consentono agli analisti della sicurezza di rilevare la presenza di un utente malintenzionato che utilizza tecniche LotL. Gli analisti possono prevenire questi attacchi negando applicazioni come PowerShell e WMI o rilevando automaticamente i comportamenti tipici utilizzati negli attacchi malware fileless e mappandoli sul framework MITRE ATT&CK. La nuova versione di Advanced EPDR consente di indagare su questi comportamenti accedendo alla telemetria dettagliata con intelligence sulle minacce da un'unica console e fornisce informazioni per le indagini sugli incidenti, identificando le tecniche MITRE ATT&CK e le capacità delle attività malevole.

Architettura degli attacchi fileless e persistenza

⬆ Torna su

L'architettura degli attacchi fileless basati su LOLBins rappresenta un esempio sofisticato di weaponizzazione dell'infrastruttura nativa dei sistemi operativi. La fase di Initial Access implementa tecniche avanzate di memory-only execution attraverso l'abuso di COM objects e Windows Script Host. La persistenza viene implementata attraverso vettori tecnici che sfruttano i meccanismi nativi di Windows, come la manipolazione dei Windows Registry AutoStart Extensibility Points (ASEPs) attraverso reg.exe e powershell.exe, la creazione di WMI Event Subscription tramite wmic.exe, e l'uso di Scheduled Tasks creati con schtasks.exe per eseguire script con privilegi elevati.

Tecniche di offuscamento e futuri sviluppi

⬆ Torna su

Gli attaccanti implementano anche tecniche di offuscamento del codice malevolo, come l'Encrypted String Staging, che previene l'analisi statica e dinamica decrittando le stringhe solo al momento dell'esecuzione, e il Control Flow Flattening, che altera il flusso di controllo del codice. L'evoluzione degli attacchi basati su LOLBins sta seguendo direzioni preoccupanti, con lo sviluppo di framework automatizzati che orchestrano l'uso di multiple LOLBins in modo dinamico, adattando le tecniche in base alle difese incontrate. Si osserva una crescente integrazione con altre tecniche avanzate di attacco, richiedendo un costante aggiornamento delle strategie di difesa.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.watchguard.com/it/wgrd-news/blog/attacchi-living-land-come-affrontare-questa-sfida-con-watchguard-advanced-epdr
• https://www.ictsecuritymagazine.com/articoli/living-off-the-land-binaries-lolbins/
• https://www.cybersecurityup.it/component/content/article/2-news-cyber-security/2072-attacco-silenzioso-agli-uffici-ucraini-hacker-russi-usano-strumenti-windows-per-rubare-dati-e-restare-invisibili?Itemid=101