Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Living off the Land: come i pirati informatici si mimetizzano all’interno di un ambiente

Oakley Cox, Director of Analysis

I pirati informatici non devono scrivere malware personalizzati per ogni singolo attacco. Spesso è più conveniente, semplice ed estremamente efficace lanciare un tentativo di attacco utilizzando la struttura stessa di un’organizzazione. In questa strategia, chiamata “Living off the Land”, i pirati informatici utilizzano i servizi già disponibili presso l’ambiente digitale dell’organizzazione presa di mira per condurre ogni fase della kill chain di un attacco informatico.

Tra i numerosi strumenti di uso comune sfruttati per scopi nefasti troviamo Powershell, Windows Management Interface (WMI) e PsExec. Questi strumenti sono normalmente utilizzati dagli amministratori di rete nelle proprie routine quotidiane e gli strumenti di sicurezza tradizionali, che si basano su firme e regole statiche, spesso hanno difficoltà a distinguere tra utilizzo legittimo e illecito.

Anche se questo termine è stato utilizzato per la prima volta nel 2013, strumenti, tecniche e procedure (TTP) Living off the Land si sono diffuse notevolmente negli ultimi anni. In parte ciò è dovuto al fatto che l’approccio tradizionale relativo alla sicurezza, come elenchi di file di hash e di domini bloccati e altri indicatori di minacce rilevati in attacchi precedenti, non è in grado di identificare questi tipi di attacchi. Pertanto questi attacchi, spesso furtivi e senza file, sono diventati la tendenza dominante.

E, cosa più preoccupante, la tecnica Living off the Land è particolarmente ricorrente negli attacchi altamente organizzati e personalizzati. I gruppi APT preferiscono da tempo i TTP Living off the Land, poiché l’elusione è la priorità principale. Le tendenze inoltre indicano che i gruppi ransomware optano sempre più per ransomware gestiti dall’uomo fortemente basati su tecniche Living off the Land anziché utilizzare malware standard.

Elementi caratteristici di un attacco Living off the Land

Prima che un pirata informatico possa mettere in pratica un attacco Living off the Land e sfruttare a proprio vantaggio l’infrastruttura di un’organizzazione, deve essere in grado di eseguire dei comandi sul sistema preso di mira. Pertanto, gli attacchi Living off the Land sono una struttura post-infezione per ricognizione di rete, movimenti laterali e persistenza.

Una volta infettato un dispositivo, i pirati informatici hanno a disposizione centinaia di utilità di sistema, che possono essere pre-installati o scaricati tramite file binari firmati da Microsoft. E, nelle mani sbagliate, altri strumenti di amministrazione di rete di terze parti affidabili possono trasformarsi da amici a nemici.

Poiché le tecniche Living off the Land sono in continua evoluzione, è difficile riuscire a determinare un singolo attacco tipico. Tuttavia è possibile suddividere questi TTP in categorie più grandi.

TTP Living off the Land firmati da Microsoft

Microsoft è onnipresente nel mondo imprenditoriale e in tutti i settori. Il progetto Living off the Land Binaries and Scripts (LOLBAS) ha l’obiettivo di documentare tutti i file binari e gli script firmati da Microsoft che includono funzionalità per gruppi APT negli attacchi Living off the Land. Ad oggi, questo elenco contiene 135 utilità di sistema che sono vulnerabili all’utilizzo improprio, ognuna delle quali fa riferimento ad un obiettivo differente. Queste possono essere creazione di nuovi account utente, compressione ed esfiltrazione di dati, acquisizione di informazioni di sistema, avvio di processi su destinazioni mirate o anche disattivazione dei servizi di sicurezza. Sia la documentazione Microsoft relativa agli strumenti vulnerabili pre-installati che il progetto LOLBAS sono elenchi non completi e in continuo aggiornamento.

Riga di comando

Secondo un recente studio, quando si tratta di distribuire un payload pericoloso, WMI (WMIC.exe), lo strumento riga di comando (cmd.exe) e PowerShell (powershell.exe) sono gli strumenti più utilizzati dai pirati informatici. Queste utilità da riga di comando comunemente sfruttate vengono utilizzate durante la configurazione di impostazioni di sicurezza e proprietà di sistema, la fornitura di aggiornamenti di stato riservati relativi a reti o dispositivi e per semplificare il trasferimento e l’esecuzione di file tra i dispositivi.

Nello specifico, il gruppo righe di comando condivide tre principali caratteristiche:

  1. Sono immediatamente disponibili sui sistemi Windows.
  2. Sono frequentemente utilizzate da molti amministratori o da processi interni per l’esecuzione di attività quotidiane.
  3. Possono eseguire le proprie attività principali senza la scrittura di dati su un disco.

Mimikatz

Mimikatz è diverso dagli altri strumenti, in quanto nella maggior parte dei sistemi non è pre-installato. È un’utilità open-source utilizzata per il dump di password, hash, PIN e ticket Kerberos. Anche se alcuni amministratori di rete possono utilizzare Mimikatz per eseguire valutazioni sulle vulnerabilità interne, non sono immediatamente disponibili sui sistemi Windows.

Gli approcci alla sicurezza tradizionali utilizzati per rilevare il download, l’installazione e l’utilizzo di Mimikatz sono spesso insufficienti. Esiste un’ampia gamma di tecniche verificate e ben documentate utilizzate per nascondere strumenti come Mimikatz e ciò significa che anche un pirata informatico inesperto è in grado di modificare stringhe o rilevamenti basati su hash.

La self-learning AI combatte gli attacchi Living off the Land

Le tecniche Living off the Land hanno dimostrato di essere incredibilmente efficaci nel consentire ai pirati informatici di integrarsi e nascondersi negli ambienti digitali delle organizzazioni. Ogni giorno, in ogni singolo ecosistema digitale, vengono normalmente registrati e connessi milioni di credenziali, strumenti di rete e processi. Quindi com’è possibile individuare l’utilizzo improprio di strumenti legittimi in mezzo a tutto questo ‘rumore’ digitale?

Come per la maggior parte delle minacce, il primo passo è la pulizia di base della rete. Ciò include l’implementazione di principi di privilegi minimi, la disattivazione di tutti i programmi non necessari, la definizione di white list relative a software e l’esecuzione di controlli di inventario di asset e applicazioni. Tuttavia, anche se queste misure sono un passo nella giusta direzione, con sufficiente tempo a disposizione un pirata informatico troverà sempre il modo di eluderle.

La tecnologia di self-learning AI è diventata fondamentale nell’individuare quando i pirati informatici sfruttano l’infrastruttura di un’organizzazione per colpire l’organizzazione stessa. È in grado di creare da zero una conoscenza completa e personalizzata relativa a qualsiasi tipo di ambiente digitale e di comprendere il “pattern of life” correlato a qualsiasi dispositivo e utente. Pertanto, gli attacchi Living off the Land vengono identificati in tempo reale individuando una serie di impercettibili deviazioni. Queste possono includere nuove credenziali o l’utilizzo insolito di SMB/DCE-RPC.

La sua conoscenza approfondita relativa all’organizzazione consente di individuare attacchi che invece eludono completamente tutti gli altri strumenti. In caso di attacco Living off the Land, l’AI riconosce che anche se l’utilizzo di un particolare strumento può essere normale per un’organizzazione, il modo in cui tale strumento è utilizzato rivela che comportamenti apparentemente sicuri sono in realtà chiaramente pericolosi.

Ad esempio, la self-learning AI può individuare l’utilizzo frequente degli agenti utente Powershell all’interno di più dispositivi, ma segnalerà un incidente unicamente se l’agente utente viene rilevato su un dispositivo in un orario insolito.

Allo stesso modo, Darktrace può rilevare comandi WMI inviati ogni giorno tra migliaia di combinazioni di dispositivi, ma attiverà un allarme relativo a tale attività solo se i comandi sono insoliti sia per l’origine che per la destinazione.

E anche gli impercettibili indicatori dello sfruttamento di Mimikatz, come l’utilizzo di nuove credenziali o traffico SMB insolito, non rimarranno nascosti tra la normale operatività dell’infrastruttura.

Le tecniche Living off the Land non scompariranno entro breve tempo. Comprendendo ciò, i team della sicurezza hanno iniziato ad abbandonare sistemi di difesa tradizionali, che fanno affidamento su dati relativi ad attacchi precedenti per individuare attacchi futuri, per passare all’AI, che utilizza una comprensione personalizzata e in continua evoluzione su ciò che la circonda per rilevare le impercettibili deviazioni indicative di una minaccia, anche se la minaccia utilizza strumenti legittimi.

Grazie a Isabel Finn e Paul Jennings, analisti di Darktrace, per aver condiviso le informazioni sul rilevamento di questo tipo di minacce e per la mappatura di MITRE ATT&CK.

Tecniche MITRE ATT&CK rilevate:

TatticheTecniche MITRE e rilevamenti di Darktrace
ReconnaissanceActive Scanning: Vulnerability Scanning (T1595.002)
Anomalous Server Activity::Server Activity on New Non-Standard Port
Resource DevelopmentObtain Capabilities: Malware (T1588.001)
Anomalous File::EXE from Rare External Location
Initial AccessDrive-By Compromise (T1189)
Anomalous File::EXE from Rare External Location
Unusual Activity::Suspicious RPC Sequence

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Hardware Additions (T1200)
Device::New Device with Attack Tools
Device::Attack and Recon Tools

Trusted Relationship (T1199)
Device::Large Outbound VPN Data
Anomalous Connection::New Outbound VPN

Valid Accounts (T1078)
User::New Admin Credentials on Client
ExecutionCommand and Scripting Interpreter: PowerShell (T1059.001)
Anomalous Connection::Powershell to Rare External
IaaS::Compute::Anomalous Command Run on Azure VM
Device::New PowerShell User Agent
Device::Anomalous Active Directory Web Services

Command and Scripting Interpreter: Unix Shell (T1059.004)
IaaS::Compute::Anomalous Command Run on Azure VM

Command and Scripting Interpreter: Windows Command Shell (T1059.003)
IaaS::Compute::Anomalous Command Run on Azure VM

Inter-Process Communication: Component Object Model (T1559.001)
Unusual Activity::Suspicious RPC Sequence

Windows Management Instrumentation (T1047)
Device::New or Uncommon WMI Activity
Device::Unusual WinRM - Heuristic
Anomalous Connection::Rare WinRM Outgoing
Device::Incoming WinRM And Script Download
PersistenceCreate Account (T1136)
User::New Credential for Client
User::Multiple Uncommon New Credentials on Device

Create Account: Domain Account (T1136.002)
User::Anomalous Domain User Creation Or Addition To Group

External Remote Services (T1133)
Anomalous Connection::IPSec VPN to Rare IP

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Privilege EscalationDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request
Defense EvasionDomain Policy Modification (T1484)
Device::Unusual Group Policy Access

Domain Policy Modification: Group Policy Modification (T1484.001)
Device::Unusual Group Policy Access

Valid Accounts (T1078)
User::New Admin Credentials on Client

Valid Accounts: Domain Accounts (T1078.002)
User::New Credential Following DPAPI BackupKey Request

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
Credential AccessBruteforce (T1110)
Unusual Activity::Large Volume of Kerberos Failures
Device::Bruteforce Activity
Device::Spike in LDAP Activity
Device::SMB Session Bruteforce
Device::Anomalous NTLM Bruteforce
Unusual Activity::Successful Admin Bruteforce Activity
Device::LDAP Bruteforce Activity
Anomalous Server Activity::Unusual Server Kerberos

Bruteforce: Credential Stuffing (T1110.004)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Device::LDAP Password Spray

Bruteforce: Password Cracking (T1110.002)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity

Bruteforce: Password Guessing (T1110.001)
Device::Spike in LDAP Activity
Anomalous Connection::RDP Bruteforce
Device::LDAP Bruteforce Activity
Unusual Activity::Large Volume of Radius Failures

Bruteforce: Password Spraying (T1110.003)
Device::Spike in LDAP Activity
Device::LDAP Password Spray

OS Credential Dumping: DCSync (T1003.006)
Unusual Activity::Suspicious RPC Sequence

Steal or Forge Kerberos Tickets: Golden Ticket (T1558.001)
Device::Active Directory Reconnaissance

Unsecured Credentials: Group Policy Preferences (T1552.006)
Device::Unusual Group Policy Access

Unsecured Credentials: Credentials In Files (T1552.001)
Anomalous File::Internal::New Access to Sensitive File
DiscoveryAccount Discovery: Domain Account (T1087.002)
Device::Possible Active Directory Enumeration

Domain Trust Discovery (T1482)
Device::Possible Active Directory Enumeration

File and Directory Discovery (T1083)
Anomalous Connection::SMB Enumeration
Compliance::SMB Drive Write
User::Suspicious Admin SMB Session
Device::Suspicious SMB Query
Unusual Activity::SMB Access Failures

Network Service Scanning (T1046)
Unusual Activity::Possible RPC Recon Activity
Device::Possible RPC Endpoint Mapper Dump

Network Share Discovery (T1135)
Anomalous Connection::SMB Enumeration
Unusual Activity::Anomalous SMB Reads to New or Unusual Locations
Device::Suspicious SMB Query

Query Registry (T1012)
Device::Suspicious SMB Query

Remote System Discovery (T1018)
Anomalous Connection::SMB Enumeration

System Information Discovery (T1082)
Device::Suspicious SMB Query

System Network Configuration Discovery (T1016)
Device::Suspicious SMB Query
Lateral MovementExploitation of Remote Services (T1210)
Device::New User Agent To Internal Server
Device::Suspicious New User Agents
Device::New PowerShell User Agent
Device::New User Agent

Lateral Tool Transfer (T1570)
Compliance::SMB Drive Write
Anomalous File::Internal::Internal File Transfer on New Port

Taint Shared Content (T1080)
Compliance::SMB Drive Write

Use Alternate Authentication Material: Pass the Hash (T1550.002)
User::New Admin Credentials on Client
CollectionAutomated Collection (T1119)
Unusual Activity::Internal Data Transfer

Data Staged (T1074)
Unusual Activity::Internal Data Transfer
Anomalous Connection::Unusual Incoming Data Volume

Email Collection (T1114)
Unusual Activity::Internal Data Transfer
Command and ControlApplication Layer Protocol: Web Protocols (T1071.001)
Compromise::Empire Python Activity Pattern

Ingress Tool Transfer (T1105)
Anomalous File::EXE from Rare External Location

Non-Standard Port (T1571)
Anomalous Connection::Application Protocol on Uncommon Port
ImpactAccount Access Removal (T1531)
User::Admin Domain Password Change

Data Encrypted for Impact (T1486)
Unusual Activity::Sustained Anomalous SMB Activity

Service Stop (T1489)
Anomalous Connection::New or Uncommon Service Control
Anomalous Connection::High Volume of New or Uncommon Service Control

Oakley Cox

Oakley Cox is Analyst Technical Director for the Asia-Pacific region, and oversees the defense of critical infrastructure and industrial control systems, helping to ensure that Darktrace’s AI stays one step ahead of attackers. Oakley is GIAC certified in Response and Industrial Defense (GRID), and helps customers integrate Darktrace with both existing and new SOC and Incident Response teams. He also has a Doctorate (PhD) from the University of Oxford.