Come proteggersi dagli attacchi di Living off the Land?

Pubblicato: 2020-05-29

Gli attacchi di Living off the Land hanno preso piede negli ultimi tempi, quindi possiamo tranquillamente estrapolare che gli hacker stanno ora reimpiegando vecchie strategie e tecniche. I concetti associati a Living off the Land non sono affatto nuovi. Gli strumenti di sistema una volta erano comunemente usati come backdoor e le vulnerabilità note venivano sfruttate nei sistemi.

Gli attacchi Living off the Land (LotL) sono incredibilmente difficili da difendere poiché a volte includono attacchi senza file come sottoinsieme. Altre volte, gli hacker sfruttano strumenti a doppio uso e di memoria, che è una combinazione mortale come si ottiene. In questa guida, intendiamo dirti tutto ciò che devi sapere sugli attacchi Living off the Land e su come puoi proteggere te stesso o la tua organizzazione da essi.

Cosa sono gli attacchi Living off the Land?

Gli attacchi Living off the Land sono attacchi in cui gli aggressori utilizzano strumenti già installati o esistenti sui computer delle vittime per promuovere i propri mezzi (rubare informazioni o denaro, impossessarsi di sistemi e così via). Tali attacchi sono unici in quanto gli hacker coinvolti non utilizzano programmi dannosi, a cui i programmi applicativi di sicurezza sono programmati per tenere d'occhio. Poiché gli aggressori utilizzano strumenti regolari o anche semplici script, il rilevamento delle minacce diventa molto difficile.

Negli attacchi fileless, ad esempio, i criminali informatici sono in grado di operare nella memoria volatile, in parti corrispondenti a PowerShell e WMI. In tali scenari, gli antivirus e le applicazioni anti-malware non riescono a rilevare e trovare le minacce, perché anche le loro voci non vengono archiviate nei registri. Dopotutto, durante l'attacco vengono creati pochissimi file (o nessun file).

Gli aggressori hanno abbastanza ragioni per non fare file. Probabilmente hanno capito che minore è il numero di file creati, minori sono le possibilità che le minacce vengano rilevate dalle utility di sicurezza. E per la maggior parte, gli attaccanti hanno ragione. Le applicazioni di sicurezza spesso faticano a rilevare gli attacchi di Living off the Land finché non diventa troppo tardi perché non sanno a cosa prestare attenzione in primo luogo.

Gli attacchi LotL non coinvolgono malware, ma gli aggressori (se ci riescono) ottengono abbastanza tempo per soffermarsi su computer compromessi in aree in cui non possono essere rilevati. E nel tempo, gli aggressori alla fine hanno l'opportunità di infiltrarsi in componenti sensibili e distruggere dati o operazioni (se lo desiderano).

Forse hai sentito parlare degli attacchi Petya/NotPetya, che hanno scosso il mondo nel 2017. Le vittime di quegli attacchi (individui e organizzazioni) non li hanno mai visti arrivare perché gli aggressori sono entrati nei loro sistemi attraverso programmi affidabili, che non hanno destato sospetti, e quindi iniettato quelle applicazioni con codice dannoso. I sistemi di protezione tradizionali hanno fallito; le loro difese non sono state attivate dall'uso insolito di software apparentemente affidabili.

Con le tecniche di Living off the Land, i criminali informatici possono entrare nei sistemi informatici senza complicazioni e trascorrervi molto tempo senza scatenare allarmi o destare sospetti. Pertanto, date le circostanze che definiscono tali attacchi, gli esperti di sicurezza trovano difficile identificare la fonte dell'attacco. Molti criminali considerano le tattiche Living off the Land il metodo ideale per eseguire attacchi.

Come stare al sicuro dagli attacchi di Living off the Land (suggerimenti per utenti regolari o individui)

Prendendo le precauzioni necessarie ed essendo proattivo, puoi ridurre le possibilità che i tuoi computer o reti siano esposti a criminali informatici attraverso le tattiche di LotL.

  1. Monitora o controlla sempre l'uso delle utilità a duplice uso all'interno delle tue reti.
  1. Utilizzare la whitelist dell'applicazione dove è disponibile o applicabile.
  1. Quando ricevi e-mail inaspettate o sospette, devi prestare attenzione. È sempre meglio non fare clic su nulla (collegamenti o allegati) in tali messaggi.
  1. Scarica e installa sempre gli aggiornamenti per tutte le tue applicazioni (programmi) e sistemi operativi (Windows, ad esempio).
  1. Prestare attenzione durante l'utilizzo di allegati di Microsoft Office che richiedono l'abilitazione delle macro. È meglio non utilizzare tali allegati in primo luogo, se puoi permetterti di non usarli.
  1. Configura le funzionalità di sicurezza avanzate ove possibile. Per funzionalità di sicurezza avanzate intendiamo autenticazione a due fattori (2FA), notifiche o richieste di accesso e così via.
  1. Usa password univoche complesse per tutti i tuoi account e profili (su reti o piattaforme). Ottieni un gestore di password, se ne hai bisogno per aiutarti a ricordare tutte le password.
  1. Ricorda sempre di disconnettere il tuo profilo o account dalle reti quando hai finito con la tua sessione.

Come evitare gli attacchi di Living off the Land (suggerimenti per organizzazioni e aziende)

Poiché le tattiche di Living off the Land costituiscono alcune delle tecniche di hacking più sofisticate, rappresentano un grande livello di sfida per le organizzazioni da identificare e scongiurare. Tuttavia, ci sono ancora modi in cui le aziende possono ridurre i rischi di tali attacchi (o mitigare gli effetti di tali attacchi, se mai si verificano).

  1. Mantenere una buona igiene informatica:

Questo suggerimento potrebbe sembrare semplice o basilare se preso alla lettera, ma è probabilmente il più importante del lotto. La maggior parte degli attacchi informatici nella storia, compresi quelli in cui sono state impiegate tattiche LotL, hanno avuto successo a causa di negligenza o mancanza di pratiche di sicurezza. Molte aziende non si preoccupano di aggiornare o correggere gli strumenti oi programmi che utilizzano. Il software in genere necessita di patch e aggiornamenti per sigillare vulnerabilità e falle di sicurezza.

Quando le patch o gli aggiornamenti non sono installati, la porta è lasciata aperta agli attori delle minacce per trovare le vulnerabilità e trarne vantaggio. Le organizzazioni hanno il dovere di assicurarsi di tenere un inventario delle applicazioni. In questo modo, possono identificare programmi obsoleti e senza patch e persino sistemi operativi; sanno anche quando devono eseguire le attività di aggiornamento essenziali e come rispettare la pianificazione.

Inoltre, il personale dovrebbe essere formato sulla consapevolezza della sicurezza. Va oltre il semplice insegnare a un individuo a non aprire e-mail di phishing. Idealmente, i lavoratori dovrebbero imparare come funzionano le funzionalità e il codice di Windows integrati. In questo modo, possono individuare anomalie o incoerenze nel comportamento, attività dannose e applicazioni o script sospetti in esecuzione in background e che tentano di eludere il rilevamento. Il personale con una buona conoscenza delle attività in background di Windows è generalmente un passo avanti rispetto ai normali criminali informatici.

  1. Configura i diritti di accesso e le autorizzazioni appropriati:

Ad esempio, un dipendente che fa clic su un collegamento dannoso in un'e-mail non deve necessariamente comportare l'atterraggio del programma dannoso sul sistema del dipendente. I sistemi devono essere progettati in modo tale che, nello scenario descritto, il programma dannoso viaggi attraverso la rete e atterri su un altro sistema. In tal caso, possiamo dire che la rete è stata segmentata abbastanza bene da garantire che le app di terze parti e gli utenti regolari abbiano protocolli di accesso rigorosi.

L'importanza della punta merita più punti salienti possibili. L'uso di solidi protocolli relativi ai diritti di accesso e ai privilegi forniti ai lavoratori può fare molto per evitare che i tuoi sistemi vengano compromessi; può fare la differenza tra un attacco LotL riuscito e uno che non va da nessuna parte.

  1. Impiega una strategia di caccia alle minacce dedicata:

Quando i cacciatori di minacce collaborano per trovare diverse forme di minacce, le possibilità di rilevamento delle minacce aumentano in modo significativo. Le migliori pratiche di sicurezza richiedono alle aziende (soprattutto le grandi organizzazioni) di impiegare cacciatori di minacce dedicati e farli passare attraverso diversi segmenti della loro infrastruttura IT per verificare la presenza di segnali anche deboli degli attacchi più mortali o sofisticati.

Se la tua azienda è relativamente piccola o se non puoi permetterti di avere un team interno di ricerca delle minacce, farai bene a esternalizzare le tue esigenze a un'azienda di ricerca delle minacce o un servizio di gestione della sicurezza simile. È probabile che troverai altre organizzazioni o team di liberi professionisti interessati a colmare questa lacuna critica. In ogni caso, finché le operazioni di caccia alle minacce vengono eseguite, va tutto bene.

  1. Configura il rilevamento e la risposta degli endpoint (EDR):

Il fallimento silenzioso è un termine importante quando si tratta di scongiurare gli attacchi informatici. L'errore silenzioso si riferisce a uno scenario o una configurazione in cui il sistema di sicurezza o difesa dedicato non riesce a identificare e difendersi da un attacco informatico e non si attivano allarmi dopo che si è verificato l'attacco.

Considera questo parallelo con l'evento previsto: se il malware senza file riesce in qualche modo a superare i tuoi livelli di protezione e ad accedere alla tua rete, potrebbe rimanere nel tuo sistema per molto tempo, cercando di analizzare l'intero sistema in preparazione per un attacco.

A tal fine, per superare il problema in vista, è necessario impostare un solido sistema Endpoint Detection and Response (EDR). Con un buon sistema EDR, sarai in grado di capire e isolare gli elementi sospetti esistenti sugli endpoint e persino eliminarli o sbarazzartene.

  1. Valuta eventi e scenari quando vieni violato (se vieni violato):

Se le tue macchine vengono violate o se la tua rete viene compromessa, farai bene a esaminare gli eventi nella preparazione dell'attacco. Ti consigliamo di dare un'occhiata ai file e ai programmi che hanno svolto un ruolo importante nell'aiutare gli aggressori ad avere successo.

Puoi assumere analisti della sicurezza informatica e chiedere loro di concentrarsi su strumenti e sistemi che possono utilizzare per misurare gli attacchi storici. La maggior parte degli scenari in cui le aziende sono vittime di attacchi sono caratterizzati da chiavi di registro sospette e file di output insoliti e anche dall'identificazione di minacce attive o ancora esistenti.

Dopo aver scoperto alcuni dei file interessati o altri indizi, farai bene ad analizzarli a fondo. Idealmente, dovresti cercare di capire dove le cose sono andate storte, cosa avrebbe dovuto essere fatto meglio e così via. In questo modo, imparerai di più e acquisirai preziose informazioni, il che significa che sarai in grado di colmare le lacune nella tua strategia di sicurezza per prevenire futuri attacchi LotL.

CONSIGLIATO

Proteggi il PC dalle minacce con Anti-Malware

Verifica la presenza di malware sul tuo PC che potrebbero non essere rilevati dal tuo antivirus e rimuovi le minacce in modo sicuro con Auslogics Anti-Malware

Auslogics Anti-Malware è un prodotto di Auslogics, certificato Microsoft Silver Application Developer
SCARICA ORA

CONSIGLIO

La sicurezza è il tema principale di questa guida, quindi non avremo occasione migliore per parlarti di una proposta eccellente. Se stai cercando di rafforzare la sicurezza sui tuoi computer o reti, allora potresti voler ottenere Auslogics Anti-Malware. Con questa utilità di protezione di prim'ordine, puoi migliorare la tua attuale configurazione di sicurezza, che potrebbe non essere sufficientemente dinamica per affrontare più minacce.

Nella lotta contro i programmi dannosi, i miglioramenti sono sempre i benvenuti. Non puoi mai dire quando qualcosa supera la tua attuale applicazione di sicurezza, o forse non ne usi nemmeno una. Non puoi nemmeno dire con certezza che il tuo computer non sia attualmente compromesso o infetto. In ogni caso, farai bene a scaricare ed eseguire l'applicazione consigliata per darti una possibilità migliore (rispetto a prima) di stare al sicuro.