Attacchi Living-off-the-Land: Tecniche e Difese con Strumenti di Sistema
Analisi degli attacchi LotL che sfruttano strumenti legittimi come PowerShell e WMI per eludere le difese. Focus su tecniche, framework MITRE e soluzioni EDR.
Contenuto
Scopri anche
Attacchi Living-off-the-Land: Tecniche e Difese con Strumenti di Sistema
- Il Paradigma Tecnico dei LOLBins
- Tecniche Avanzate di Esecuzione ed Evasione
- Implementazione della Persistenza nel Sistema
- Evasione dei Sistemi Endpoint Detection and Response (EDR)
- WatchGuard Advanced EPDR per il Rilevamento LotL
- Caso Concreto: Attacchi agli Uffici Ucraini
- Considerazioni sulla Difesa
- Fonti
Nell'ambito della sicurezza informatica, gli attacchi "Living-off-the-Land" (LotL) sono diventati sempre più difficili da rilevare. Questa metodologia sfrutta strumenti di sistema legittimi, come PowerShell, WMI o le macro di Office, invece di affidarsi a malware esterni. Questo approccio consente agli attaccanti di muoversi furtivamente all'interno di una rete, poiché le misure di sicurezza tradizionali faticano a identificarli proprio perché fanno leva su strumenti affidabili e provvisti di firma digitale. I criminali informatici apprezzano gli attacchi LotL perché eludono il rilevamento e riducono il rischio di essere rintracciati, aumentando le probabilità di successo di una violazione e permettendo di rimanere nascosti più a lungo.
Il Paradigma Tecnico dei LOLBins
⬆ Torna suL'utilizzo dei Living-off-the-Land Binaries (LOLBins) emerge come una metodologia particolarmente insidiosa. Questi binari, oltre a essere firmati digitalmente dai produttori di software legittimi, godono di privilegi elevati e accesso diretto alle API di sistema critiche. La loro legittimità intrinseca permette di bypassare i controlli di integrità del codice e le whitelist applicative. L'architettura tecnica degli attacchi basati su LOLBins si articola su diversi livelli di sofisticazione, dall'abuso di funzionalità native di binari come certutil.exe per il download di payload, all'uso di wscript.exe e cscript.exe per eseguire codice arbitrario.
Tecniche Avanzate di Esecuzione ed Evasione
⬆ Torna suLa vera innovazione tecnica risiede nell'orchestrazione di questi binari attraverso tecniche di process hollowing e code injection. Gli attaccanti utilizzano LOLBins come rundll32.exe per iniettare shellcode direttamente nella memoria di processi legittimi, sfruttando le API di Windows come CreateRemoteThread() e VirtualAllocEx(). Un aspetto particolarmente insidioso riguarda l'abuso delle funzionalità di diagnostica e amministrazione remote. Binari come winrm.exe e winrs.exe, progettati per la gestione remota, vengono utilizzati per stabilire connessioni crittografate legittime che possono fungere da canali di comando e controllo (C2), difficili da rilevare poiché usano protocolli standard come WS-Management.
Implementazione della Persistenza nel Sistema
⬆ Torna suLa persistenza viene implementata attraverso diversi vettori tecnici che sfruttano i meccanismi nativi di Windows. Windows Registry AutoStart Extensibility Points (ASEPs) vengono manipolati attraverso reg.exe e powershell.exe, creando chiavi di registro che puntano a script offuscati. WMI Event Subscription viene implementata attraverso wmic.exe e mofcomp.exe, creando oggetti WMI permanenti che permettono l'esecuzione automatica di codice in risposta a eventi di sistema. Scheduled Tasks vengono create utilizzando schtasks.exe con parametri specifici per mascherare l'attività malevola come manutenzione di sistema, spesso eseguendo script PowerShell con privilegi elevati.
Evasione dei Sistemi Endpoint Detection and Response (EDR)
⬆ Torna suGli Endpoint Detection and Response (EDR) rappresentano l'ultima linea di difesa, ma le tecniche basate su LOLBins hanno sviluppato metodologie raffinate per eluderli. L'evasione si articola attraverso strategie come Process Tampering e Hook Evasion, che prevedono la ricostruzione delle tabelle IAT per eludere il monitoraggio. Altre tecniche includono Parent Process ID Spoofing, per falsificare il PPID di processi malevoli, e DLL Search Order Manipulation per iniettare codice malevolo in processi legittimi. Vengono inoltre impiegate tecniche di offuscamento come Encrypted String Staging e Control Flow Flattening per rendere complessa l'analisi del codice.
WatchGuard Advanced EPDR per il Rilevamento LotL
⬆ Torna suPer implementare con successo strategie difensive, WatchGuard Advanced EPDR offre funzionalità che consentono agli analisti della sicurezza di rilevare la presenza di un utente malintenzionato che utilizza tecniche LotL. La documentazione indica che gli analisti possono prevenire questi attacchi negando applicazioni come PowerShell e WMI o rilevando automaticamente i comportamenti tipici utilizzati negli attacchi malware fileless e mappandoli sul framework MITRE ATT&CK. La nuova versione di Advanced EPDR consente di accedere alla telemetria dettagliata con intelligence sulle minacce da un'unica console e fornisce informazioni per le indagini sugli incidenti, identificando le tecniche MITRE ATT&CK e le capacità delle attività malevole.
Caso Concreto: Attacchi agli Uffici Ucraini
⬆ Torna suUn esempio concreto dell'uso di queste tecniche si è verificato contro organizzazioni ucraine, bersaglio di sofisticati attacchi informatici da parte di gruppi hacker di origine russa. Queste campagne hanno utilizzato tecniche living-off-the-land e tool dual-use, riducendo le tracce digitali. L'accesso iniziale è stato ottenuto tramite l'installazione di web shell su server esposti online. Gli attaccanti hanno lanciato comandi PowerShell per escludere cartelle dalla scansione dell'antivirus e hanno schedulato dump di memoria. La strategia si è basata sull'impiego minimo di malware, prediligendo strumenti nativi di Windows per rubare credenziali e informazioni, lasciando un'impronta digitale minima.
Considerazioni sulla Difesa
⬆ Torna suRilevare e prevenire efficacemente questi attacchi richiede una combinazione di controlli tecnici validi, un monitoraggio costante e una solida formazione sulla sicurezza per gli utenti. La protezione contro gli attacchi basati su LOLBins necessita di un framework di difesa stratificato che integri tecnologie avanzate di prevenzione, rilevamento e risposta. L'approccio moderno alla mitigazione si basa su una comprensione approfondita delle tecniche di attacco e su metodologie di difesa adattive, come l'hardening dell'infrastruttura e il monitoring che integra analisi della memoria e tracciamento delle relazioni tra processi.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.watchguard.com/it/wgrd-news/blog/attacchi-living-land-come-affrontare-questa-sfida-con-watchguard-advanced-epdr
- https://www.ictsecuritymagazine.com/articoli/living-off-the-land-binaries-lolbins/
- https://www.cybersecurityup.it/component/content/article/2-news-cyber-security/2072-attacco-silenzioso-agli-uffici-ucraini-hacker-russi-usano-strumenti-windows-per-rubare-dati-e-restare-invisibili?Itemid=101
In breve
- powershell
- wmi
- lolbins
- mitre