Attacco Living off the Land (LOTL): quando l’hacker usa strumenti legittimi

Nel mondo dell’hacking, gli attaccanti hanno sempre cercato modi innovativi per infiltrarsi nei sistemi informatici ed eludere il rilevamento.

A questo proposito, sta prendendo sempre più piede una nuova forma di attacco, nota in gergo come Living off the Land (LOTL).

Consiste nello sfruttare strumenti e applicazioni legittimi presenti sui sistemi target per eseguire attività malevole e nasconderle tra i normali processi del sistema.

Specifiche dell’attacco Living off the Land
I programmi legittimi sfruttati dagli hacker
Relazione tra attacchi LOTL e mitigazione
Attacchi LOTL noti

Specifiche dell’attacco Living off the Land

Un attacco Living off the Land (LOTL), a differenza della maggior parte degli attacchi informatici basati sull’utilizzo di malware o exploit, sfrutta le funzionalità già presenti nel sistema di destinazione per infiltrarsi e compiere azioni dannose.

Le caratteristiche distintive dell’attacco LOTL sono:

Utilizzo di strumenti legittimi: gli hacker sfruttano software e strumenti di amministrazione di sistema preinstallati o disponibili nel sistema di destinazione.
Minimizzazione delle tracce: essendo basato su strumenti legittimi, un attacco LOTL è meno evidente rispetto a un attacco tramite malware o exploit. Gli hacker cercano di minimizzare le tracce lasciate nel sistema di destinazione, rendendo difficile la rilevazione e il conseguente intervento
Difficoltà nel rilevamento: poiché gli strumenti utilizzati nell’attacco LOTL sono legittimi e possono essere parte integrante del sistema di destinazione, risulta difficile per gli strumenti di sicurezza identificare la differenza tra un normale utilizzo del sistema e un attacco

Le ragioni principali per cui gli hacker utilizzano strumenti integrati nel sistema sono principalmente due:

Evitare l’individuazione: l’utilizzo di strumenti legittimi permette agli hacker di bypassare le misure di sicurezza e i sistemi di rilevamento in grado di allertare l’utente in caso di anomalie o firme di file malevoli
Sfruttare le autorizzazioni privilegiate: molte delle funzionalità utilizzate dagli hacker durante un attacco LOTL richiedono delle autorizzazioni privilegiate per essere eseguite. Sfruttando gli strumenti di amministrazione di sistema, gli hacker possono accedere a queste autorizzazioni e compiere attività dannose senza bisogno di installare alcun software esterno

I programmi legittimi sfruttati dagli hacker

Gli hacker, nel corso del tempo, sono diventati sempre più abili nello sfruttare una vasta gamma di strumenti e software legittimi per condurre attività illegali o dannose.

Sebbene nell’immaginario comune l’hacking sia associato ai malware o ai virus, i veri professionisti sono in grado di massimizzare l’efficacia dei comuni strumenti e software di sistema per raggiungere i loro obiettivi.

Analizziamo, quindi, quali sono i principali programmi impiegati dai pirati informatici per mettere a segno un attacco Living Off The Land.

PowerShell

Uno dei programmi più utilizzati da programmatori e informatici è sicuramente PowerShell. Questo è presente in tutti i sistemi operativi Windows moderni ed è utilizzato per automatizzare complesse attività di amministrazione di sistema.

Tuttavia, gli hacker sfruttano la sua potenza e la flessibilità del linguaggio di scripting per eseguire azioni malevole.

Con PowerShell, infatti, gli hacker possono:

eseguire comandi remoti
ottenere informazioni sensibili
eseguire codice malevolo

Windows Management Instrumentation (WMI)

Un altro strumento ampiamente utilizzato tantop dagli hacker che dagli esperti IT è il Windows Management Instrumentation (WMI).

Questo framework è integrato in tutti i sistemi operativi Windows, e consente di gestire e monitorare i componenti di sistema e le risorse.

Gli hacker sfruttano la sua ampia gamma di funzionalità per eseguire operazioni come:

controllo remoto dei dispositivi
monitoraggio della connettività di rete
esecuzione di comandi arbitrari sui sistemi di destinazione

I comandi WMI possono essere eseguiti tramite PowerShell o da programmi esterni.

Remote Desktop Protocol (RDP)

Un’altra tecnologia utilizzata dagli hacker è il Remote Desktop Protocol (RDP).

Questa tecnologia consente agli utenti di accedere ed eseguire operazioni su un terminale in modalità remota.

Gli hacker sfruttano le vulnerabilità nel protocollo RDP per accedere e prendere il controllo del dispositivo.

Una volta ottenuto l’accesso, possono eseguire varie azioni dannose come l’installazione di malware o il furto di dati sensibili.

Altri Strumenti

Oltre ai suddetti strumenti, gli hacker possono anche utilizzare software legittimo come scanner di porte o programmi di cracking delle password per ottenere l’accesso non autorizzato a sistemi e reti.

Questi programmi, che inizialmente sono stati sviluppati per scopi legittimi come la diagnosi di problemi di rete o la verifica della sicurezza dei propri sistemi, sono stati adattati dagli hacker per facilitare le loro azioni malevole.

Questi strumenti consentono agli hacker di identificare e sfruttare vulnerabilità di sicurezza, mettendo a repentaglio l’integrità dei sistemi.

In conclusione, gli hacker hanno a disposizione una vasta gamma di strumenti e software legittimi che sono stati adattati per scopi illegali o dannosi.

È fondamentale quindi che gli utenti e le organizzazioni adottino misure di sicurezza avanzate per proteggere i propri sistemi da intrusioni e attacchi.

Relazione tra attacchi LOTL e mitigazione

Gli attacchi LOTL rappresentano una seria minaccia sia per le aziende che per gli individui.

Una delle principali sfide riguarda la capacità di individuare le attività anomale all’interno di un ambiente di rete complesso.

Gli attacchi LOTL, infatti, spesso utilizzano

script
tool
funzionalità native

presenti nel sistema operativo, rendendo difficile distinguere tra un’attività legittima e un’attività malevola.

Inoltre, gli attaccanti possono lavorare in modo discreto, cercando di evitare l’attivazione di allarmi o avvisi di sicurezza.

Un’altra sfida riguarda la mancanza di tecniche di difesa specifiche per gli attacchi LOTL.

Le tradizionali soluzioni di sicurezza spesso si concentrano sulla rilevazione di firme di virus o comportamenti anomali noti, ma possono non essere in grado di individuare anomalie in background.

Pertanto, per mitigare il rischio di questi attacchi, è importante adottare alcune misure e best practice.

Innanzitutto, è fondamentale mantenere aggiornati i sistemi operativi e le app, applicando regolarmente le patch di sicurezza rilasciate dai fornitori. Questo renderà più difficile per gli attaccanti sfruttare le vulnerabilità note presenti nel software.
Inoltre, è consigliabile implementare soluzioni di sicurezza avanzate, come sistemi di rilevamento delle intrusioni (IDS) o sistemi di protezione endpoint (EDR). Questi strumenti possono aiutare a identificare gli attacchi LOTL monitorando il comportamento delle applicazioni e individuando anomalie o attività sospette.
Altro aspetto importante è l’adozione di politiche di sicurezza basate sul principio del “minor privilegio possibile”. Questo significa assegnare agli utenti solo i permessi e le autorizzazioni strettamente necessarie per svolgere il proprio lavoro. Limitando i privilegi degli utenti, si riduce il rischio di subire un attacco.
Infine, la formazione e la sensibilizzazione degli utenti sono fondamentali. Le aziende e gli individui devono essere consapevoli delle minacce informatiche e delle tattiche utilizzate dagli attaccanti per poter riconoscere e prevenire gli attacchi LOTL. La formazione dovrebbe includere l’educazione sulle best practice di sicurezza, come l’utilizzo di password complesse, l’identificazione di email di phishing o l’evitare di scaricare file da fonti non attendibili.

Attacchi LOTL noti

Un caso reale che ha dimostrato l’efficacia degli attacchi LOTL è stato l’attacco a Equifax, nota agenzia di credito statunitense. Nel 2017, gli hacker sfruttarono una vulnerabilità nel software Apache Struts, un framework legittimo utilizzato dal sistema di gestione dei dati della banca.

Grazie a questa falla, gli aggressori ebbero accesso illegalmente ai dati personali di oltre 147 milioni di utenti.

L’attacco ha causato gravi danni finanziari ai clienti, oltre a minare la fiducia nel sistema finanziario, portando anche ad una rivisitazione delle politiche di sicurezza dell’azienda.

Un altro esempio noto è stato l’attacco NotPetya dello stesso anno, che ha causato il caos in tutto il mondo.

Inizialmente camuffatosi come ransomware, NotPetya utilizzava strumenti legittimi come il software di contabilità ME Doc per diffondersi all’interno delle reti aziendali.

Una volta infiltratosi nel sistema, il malware si propagava attraverso una vulnerabilità di Windows per infettare numerosi computer, bloccando completamente le operazioni aziendali.

L’attacco ha colpito numerose imprese internazionali, tra cui Maersk, una delle più grandi compagnie di container al mondo, che ha riportato danni per centinaia di milioni di dollari.

Questo caso ha messo in evidenza l’importanza di mantenere aggiornati i software e di implementare pratiche sicure per prevenire attacchi di questo tipo.

Le conseguenze degli attacchi LOLT possono essere disastrose per le organizzazioni coinvolte, come dimostrato dai casi precedentemente citati.

Oltre ai danni finanziari diretti, questi attacchi mettono a rischio la reputazione dell’azienda, danneggiano la fiducia dei clienti e richiedono notevoli sforzi per ripristinare le infrastrutture colpite.

In sintesi, le esperienze di Equifax e Maersk hanno evidenziato l’importanza di:

monitorare costantemente il comportamento del traffico di rete
disporre di un piano di risposta agli incidenti solido

Conclusioni

In conclusione, l’industria della sicurezza informatica ha imparato alcune lezioni cruciali da questi attacchi.

In primis, la consapevolezza che gli hacker hanno a disposizione una vasta gamma di strumenti e software legittimi adattati per scopi illegali o dannosi.

Da PowerShell al WMI, dal RDP ai software di analisi delle porte di accesso: questi consentono condurre attività malevole prati9camente senza utilizzare alcuno strumento estraneo al sistema.

È fondamentale, quindi, che gli utenti e le organizzazioni adottino misure di sicurezza avanzate per proteggere i propri sistemi da intrusioni e attacchi.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.