Barracuda full logo

Vivere della Terra: Come gli attori delle minacce utilizzano il tuo sistema per rubare i tuoi dati

Argomenti:
3 mar 2025
|
Christine Barry

Quasi tutti gli attori delle minacce avanzate hanno aggiunto le tecniche Living off the Land (LotL) nei loro attacchi. LotL è una strategia di attacco in cui gli attori delle minacce conducono attività dannose sfruttando strumenti e funzionalità legittimi già presenti in un obiettivo. La frase "vivere della terra" significa sopravvivere con le risorse che si trovano in un ambiente esistente. Se l'ambiente è un ecosistema fisico come una foresta, significa sostenersi con ciò che si può raccogliere, coltivare, ecc. Se l'ambiente è una rete digitale, significa condurre un attacco con i binari, gli script e altri strumenti che sono già in funzione nell'ambiente digitale della vittima. Il termine è stato applicato a queste tecniche nel 2013.

Malware tradizionale, attacchi senza file e LotL

Prima di entrare nei dettagli, dobbiamo comprendere la differenza tra malware tradizionale, attacchi fileless e tecniche LotL.

Il malware tradizionale si basa su file dannosi esterni per spostarsi attraverso un computer o una rete e danneggiare i sistemi. Usiamo il ransomware WannaCry come esempio. WannaCry ransomware era il famigerato cryptoworm che ha infettato oltre 230.000 computer in 150 paesi in un solo giorno. Ha avuto accesso e ha preso il controllo dei computer vulnerabili all'exploit EternalBlue. Una volta stabilito, WannaCry ha installato il ransomware e ha utilizzato il computer host per replicarsi e infettare altre macchine vulnerabili. Tecnicamente, WannaCry ha installato tre pezzi di malware sulla macchina.

Un attacco fileless è uno che esegue codice malevolo direttamente dalla memoria. Non scrive alcun file su disco e spesso utilizza strumenti di sistema e macro per effettuare l'attacco. Gli attacchi fileless possono o meno essere attacchi LotL, e questa distinzione dipende da una definizione rigorosa di LotL. Un attacco JavaScript basato su browser come SocGholish è fileless perché viene eseguito nella memoria del browser e non scrive su disco. Tuttavia, JavaScript non è uno strumento di amministrazione di sistema e i comandi malevoli sono normalmente introdotti da una fonte esterna come un sito web infetto. Ci sono alcune aree grigie su questo, ma è sufficiente sapere che alcuni attacchi fileless non sono LotL.

Gli attacchi LotL possono combinare questi due tipi di attacco sfruttando strumenti di sistema come PowerShell con file scritti su disco per un'esecuzione ritardata. Ad esempio, un attacco LotL potrebbe essere lanciato da qualcuno che apre un file dannoso precedentemente scaricato o inserito in un attacco precedente.

LotL è stato ampiamente adottato dagli attori delle minacce ed è ora incluso nella maggior parte degli attacchi avanzati.

Una breve storia delle tecniche LotL

Living-off-the-Land non è niente di nuovo. Sebbene la terminologia LotL non esistesse al momento, il virus del Disk Operating System (DOS) del 1989 'Frodo' è considerato uno dei primi a utilizzare tecniche LotL per rimanere nascosto fino a l'attivazione del payload. Una volta lanciato, Frodo era residente in memoria e intercettava le chiamate di interrupt DOS per nascondere la sua presenza. Il worm Code Red del 2001 ha preso di mira i server Microsoft IIS con attacchi di overflow del buffer e denial-of-service (DoS). Questo malware ha sfruttato CVE-2001-0500 e ha operato interamente in memoria senza scrittura su disco. Code Red ha deturpato siti web e rallentato siti ed elettronica di rete con traffico eccessivo.

 

Screenshot di una pagina web compromessa da Code Red

Schermata di una pagina web deturpata da Code Red, per gentile concessione di Cybereason

Il ‘SQL Slammer’ del 2003, noto anche come Sapphire Virus, era un worm che si diffondeva tramite la porta 1434, comunemente trovata aperta su Microsoft SQL Server 2000, applicazioni client-side Microsoft SWL, e sistemi MSDE 2000. Una volta che un sistema era infettato, replicava il worm in ogni computer vulnerabile che riusciva a trovare. SQL slammer generava oltre 25.000 pacchetti di infezione al secondo, e infettava circa 75.000 sistemi nella prima ora. SQL Slammer è stato il primo attacco fileless e LotL diffuso su larga scala.  

Gli attacchi LotL sono cresciuti rapidamente da allora. Quasi ogni nuova funzionalità aggiunta ai sistemi operativi ha portato a nuovi progressi nelle minacce informatiche. Alla fine le tecniche LotL sono cresciute al punto da guadagnarsi una propria terminologia:

  • LOO – Vivere fuori dal frutteto: Un riferimento agli attacchi LotL che prendono di mira MacOS. Il "frutteto" è un gioco di parole sul logo Apple.
  • LOLBins – Living off the Land Binaries: Questo termine è stato introdotto dal ricercatore di sicurezza Oddvar Moe nel 2018. LOLBins si riferisce a binari di sistema legittimi che possono essere sfruttati per scopi dannosi. Esempi comuni:
    • Microsoft Windows: PowerShell, Rundll32, Regsvr32, Certutil, Bitsadmin.
    • MacOS: Curl, OpenSSL, Nscurl, Xattr, Launchctl
    • *nix: Curl, OpenSSL, Bash, Python, Nc (Netcat)
  • LOLScripts – Script Living off the Land: Come sembra, questo termine si riferisce agli script e linguaggi di scripting legittimi. Esempi:
    • Microsoft Windows: PubPrn.vbs, CL_LoadAssembly.ps1, CL_Mut3exverifiers.ps1, Pester.bat, winrm.vbs
    • MacOS: osascript, bash, python, ruby, perl
    • *nix: bash, python, perl, awk, sed

Ora, mettiamo insieme questo con i cinque modi principali in cui gli attori delle minacce utilizzano le tecniche LotL:

 

Uso LotL

Finestre

macOS

Linux/Unix

Movimento laterale

- PsExec
- WinRM
- PowerShell
- WMI

- SSH (Secure Shell)
- Osascript
- Script Bash

- SSH
- Script Bash
- Script Python

Escalation dei privilegi

- PowerShell
- Rundll32
- Reg.exe

- Sudo
- Dscl
- Osascript

- Sudo
- Binari Setuid
- Job Cron

Esfiltrazione dei dati

- Bitsadmin
- Certutil
- PowerShell

- Curl
- Rsync
- SCP (Secure Copy Protocol)

- Curl
- Rsync
- SCP
- Netcat

Persistenza

- Schtasks
- Reg.exe
- WMIC

- Launchctl
- Cron job
- File Plist

- Processi cron
- Servizi Systemd
- Script di init (Script di inizializzazione)

Esecuzione di payload dannosi

- PowerShell
- Mshta
- Rundll32

- Python
- Perl
- Bash

- Python
- Perl
- Bash
- Awk

 

Che tipo di attore di minaccia vive sul territorio?

Gli attacchi LotL sono comuni nel ransomware e nello spionaggio, ma di solito non si trovano negli attacchi DDoS o di phishing. Sia gli infostealer che i trojan bancari utilizzano LotL, mentre i ladri di portafogli di criptovalute no. LotL consente agli attori delle minacce di mimetizzarsi con le normali attività di sistema, rendendo l'attacco più difficile da rilevare, soprattutto in assenza di intelligence sulle minacce e altre misure di sicurezza avanzate. Tuttavia, LotL ha i suoi svantaggi:

  • Funzionalità limitata: Il malware personalizzato può offrire maggiore flessibilità e controllo su un attacco rispetto agli strumenti di sistema progettati per uno scopo specifico.
  • Variabilità ambientale: Le tecniche LotL dipendono dal fatto che l'ambiente della vittima abbia il giusto set di strumenti. Se l'ambiente non ha questi strumenti, l'attacco non sarà efficace.
  • Esperienza dell'attaccante: Gli attacchi LotL richiedono una comprensione dell'architettura e del comportamento del sistema.
  • Velocità contro furtività: gli attacchi LotL possono richiedere pazienza e molti aggressori danno priorità alla velocità e alla funzionalità aggiuntiva rispetto alla furtività di LotL.
  • Rilevamento migliorato: Le tecniche di monitoraggio e rilevamento delle anomalie stanno avanzando rapidamente. Gli attori delle minacce sono disposti a mescolare tecniche e provare nuove cose per rimanere un passo avanti ai difensori.

Torniamo al ladro di portafogli di criptovalute. Questo è un malware progettato per individuare ed estrarre i dati sensibili necessari per accedere agli asset digitali. Questi dati includono chiavi private, file del portafoglio e talvolta anche password o frasi seed. Il ladro di portafogli esegue una scansione specifica dei sistemi infetti per informazioni sul portafoglio e copia ed esfiltra queste informazioni nel sistema dell'attaccante. L'attaccante tenterà quindi di accedere o trasferire fondi dal portafoglio. Questo malware deve agire rapidamente prima che una vittima possa interrompere l'attacco o trasferire fondi dal portafoglio. Questo malware prende di mira una vasta gamma di sistemi e spesso segue un attacco di phishing o malware più ampio. Per questi motivi, le tecniche LotL non sono adatte al malware ladro di portafogli.

Difenditi dalle tattiche di LotL

Rilevare gli attacchi LotL è impegnativo perché sfruttano strumenti affidabili, ma una difesa proattiva è possibile con un po' di pianificazione. Questo dovrebbe essere parte della strategia di cybersecurity dell'azienda.

Utilizza soluzioni come Barracuda Managed XDR per monitorare i sistemi per anomalie comportamentali e attività di rete insolite. Assicurati che i tuoi sistemi registrino le esecuzioni di script e la creazione di processi insoliti. Limita l'uso di LOLBins e LOLScripts ad alto rischio tramite whitelisting o altre misure.

Mantieni un solido sistema di gestione delle patch e conduci regolari valutazioni delle vulnerabilità.

Segmentare le reti per isolare gli ambienti sensibili e limitare le possibilità di movimento laterale. Determinare il traffico normale e l'attività di rete e configurare soluzioni di sicurezza per segnalare le deviazioni. Mantenere una gestione delle patch efficace e effettuare regolarmente valutazioni di vulnerabilità e rischi.

È fondamentale utilizzare il principio del privilegio minimo (PolP) e richiedere l'autenticazione a più fattori (MFA) per tutti gli utenti. Configura l'analisi comportamentale e segnala attività che potrebbero indicare un comportamento anomalo degli utenti.

Barracuda può aiutarvi

Barracuda Managed XDR è una piattaforma di visibilità estesa, rilevamento e risposta (XDR), supportata da un centro operativo di sicurezza (SOC) attivo 24 ore su 24, 7 giorni su 7, che fornisce ai clienti servizi di rilevamento delle minacce, analisi, risposta agli incidenti e mitigazione guidati dall'uomo e dall'IA.

 

Dai uno sguardo più da vicino a Barracuda Managed XDR

 

 

 

Christine Barry

Christine Barry Senior Chief Cybersecurity Storyteller e Content Manager presso Barracuda. Prima di unirsi a Barracuda, Christine è stata ingegnere di campo e project manager per clienti K12 e SMB per oltre 15 anni. Possiede diverse credenziali in tecnologia e gestione dei progetti, un Bachelor of Arts e un Master of Business Administration. Si è laureata presso l'Università del Michigan.

Connettiti con Christine su LinkedIn qui.

 

Unisciti alla nostra community su Reddit!

Post correlati:
Introducing Barracuda Assistant: Your AI-powered partner for faster, smarter security operations
Introducing Barracuda Assistant: Your AI-powered partner for faster, smarter security operations
 EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
EtherHiding gives cybercriminals access to blockchain networks impervious to takedowns
 Coming soon: Your chance to take on the hacker’s role
Coming soon: Your chance to take on the hacker’s role
 Defense wins championships: What sports teach us about cybersecurity
Defense wins championships: What sports teach us about cybersecurity
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Ricevi tutte le ultime notizie, ricerche e analisi direttamente nella tua casella di posta.