LOLBin, abbreviazione di "Living Off the Land Binaries", è un termine utilizzato nella sicurezza informatica per fare riferimento a file eseguibili, strumenti o script legittimi presenti su un sistema operativo Windows di cui gli autori delle minacce possono abusare per svolgere attività dannose. Questi file binari sono nativi del sistema e vengono generalmente utilizzati dai criminali informatici per aggirare le tradizionali misure di sicurezza. Sfruttando questi file binari preinstallati, gli aggressori possono evitare il rilevamento e rendere difficile per gli strumenti di sicurezza distinguere tra attività legittime e dannose.
La storia dell'origine di LOLBin e la prima menzione di esso
Il concetto di LOLBins ha acquisito importanza nella comunità della sicurezza informatica intorno al 2014, quando i ricercatori di sicurezza hanno iniziato a osservare un aumento degli attacchi fileless e delle tecniche che utilizzavano utilità di sistema legittime per scopi dannosi. La prima menzione di LOLBins è stata in un documento di ricerca intitolato "Living off the Land and Evading Detection – A Survey of Common Practices" di Casey Smith nel 2014. Questo documento ha fatto luce su come gli avversari hanno sfruttato i file binari integrati di Windows per nascondere le loro attività e eludere il rilevamento.
Informazioni dettagliate su LOLBin: espansione dell'argomento LOLBin
I LOLBin rappresentano una strategia intelligente utilizzata dagli avversari informatici per volare sotto il radar. Questi file binari preinstallati forniscono agli aggressori un vasto arsenale per eseguire vari comandi, interagire con il sistema ed eseguire ricognizioni senza la necessità di rilasciare ulteriori file dannosi sul computer della vittima. Sono comunemente utilizzati negli attacchi fileless, in cui l'attacco avviene esclusivamente nella memoria, lasciando poche o nessuna traccia sul disco rigido.
L'uso di LOLBins è spesso combinato con altre tecniche, come vivere di tattiche di terra, scripting PowerShell e WMI (Strumentazione gestione Windows) per massimizzarne l'efficacia. I LOLBin sono particolarmente efficaci negli scenari post-sfruttamento, poiché consentono agli aggressori di confondersi con l'attività legittima del sistema, rendendo difficile per gli analisti della sicurezza distinguere tra comportamento normale e dannoso.
La struttura interna del LOLBin: come funziona il LOLBin
I LOLBin sono file binari nativi di Windows preinstallati nel sistema operativo. Hanno funzionalità legittime e sono stati progettati per assistere con varie attività amministrative, manutenzione del sistema e risoluzione dei problemi. Gli aggressori manipolano questi file binari per raggiungere obiettivi dannosi senza destare sospetti. La struttura interna di un LOLBin è la stessa di qualsiasi normale sistema binario, consentendogli di operare inosservato dalle soluzioni di sicurezza.
Il processo in genere prevede l'utilizzo di argomenti della riga di comando per richiamare funzionalità specifiche, eseguire comandi PowerShell o accedere a risorse di sistema sensibili. Gli aggressori possono sfruttare LOLBins per eseguire codice, creare o modificare file, interrogare il registro di sistema, comunicare in rete ed eseguire altre attività necessarie per raggiungere i propri obiettivi.
Analisi delle caratteristiche principali di LOLBin
I LOLBin offrono diverse funzionalità chiave che li rendono attraenti per gli autori delle minacce:
-
Aspetto legittimo: I LOLBin hanno firme digitali valide e in genere sono firmati da Microsoft, il che li fa apparire affidabili e aggirano i controlli di sicurezza.
-
Invisibilità: Poiché sono binari di sistema nativi, i LOLBin possono eseguire codice dannoso senza sollevare segnali d'allarme o attivare avvisi dalle soluzioni di sicurezza.
-
Non è necessario eliminare malware: I LOLBin non richiedono agli aggressori di rilasciare file aggiuntivi sul sistema della vittima, riducendo le possibilità di rilevamento.
-
Abuso di strumenti attendibili: gli aggressori sfruttano strumenti già inseriti nella whitelist e considerati sicuri, il che rende difficile per gli strumenti di sicurezza distinguere tra utilizzo legittimo e dannoso.
-
Esecuzione senza file: I LOLBin consentono attacchi fileless, riducendo l'impronta digitale e aumentando la complessità delle indagini forensi.
Tipi di LOLBin
| Tipo LOLBin | Descrizione |
|---|---|
| Script di PowerShell | Utilizza PowerShell, un potente linguaggio di scripting in Windows, per svolgere attività dannose. |
| Strumentazione gestione Windows (WMI) | Sfrutta WMI per eseguire in remoto script e comandi sui sistemi di destinazione. |
| Prompt dei comandi di Windows (cmd.exe) | Sfrutta l'interprete della riga di comando nativo di Windows per eseguire comandi e script. |
| Host di script di Windows (wscript.exe, cscript.exe) | Esegue script scritti in VBScript o JScript. |
Modi di utilizzare LOLBin
-
Aumento dei privilegi: LOLBins può essere utilizzato per elevare i privilegi sui sistemi compromessi, ottenendo l'accesso a informazioni e risorse sensibili.
-
Raccolta di informazioni: gli autori delle minacce utilizzano LOLBins per raccogliere informazioni sul sistema di destinazione, inclusi software installato, configurazione di rete e account utente.
-
Movimento laterale: Gli aggressori utilizzano LOLBin per spostarsi lateralmente all'interno di una rete, saltando da un sistema all'altro, il tutto rimanendo furtivi.
-
Persistenza: i LOLBin consentono agli aggressori di stabilire la persistenza sul sistema compromesso, garantendo che possano mantenere l'accesso per un periodo prolungato.
L’uso di LOLBins pone sfide significative per i professionisti della sicurezza informatica. Alcuni dei problemi includono:
-
Rilevamento: gli strumenti di sicurezza tradizionali basati su firma potrebbero avere difficoltà a rilevare i LOLBin a causa della loro natura legittima e della mancanza di modelli di malware noti.
-
Visibilità: Poiché i LOLBin operano all'interno di processi di sistema legittimi, spesso eludono il rilevamento basato sull'analisi comportamentale.
-
Whitelist: gli aggressori possono abusare dei meccanismi di whitelist che consentono l'esecuzione senza restrizioni dei file binari conosciuti.
-
Mitigazione: Disabilitare o bloccare completamente i LOLBin non è fattibile poiché svolgono funzioni di sistema essenziali.
Per affrontare queste sfide, le organizzazioni devono adottare un approccio alla sicurezza a più livelli che includa:
- Analisi comportamentale: Impiegare metodi di rilevamento basati sul comportamento per identificare attività anomale, anche all'interno di file binari legittimi.
- Rilevamento anomalie: utilizza il rilevamento delle anomalie per individuare le deviazioni dal normale comportamento del sistema.
- Protezione degli endpoint: Investi in strumenti avanzati di protezione degli endpoint in grado di rilevare attacchi fileless ed exploit basati sulla memoria.
- Educazione degli utenti: istruire gli utenti sui rischi del phishing e dell'ingegneria sociale, che sono vettori comuni per sferrare attacchi basati su LOLBin.
Caratteristiche principali e altri confronti con termini simili
| Termine | Descrizione |
|---|---|
| LOLBins | File binari di sistema legittimi sfruttati per scopi dannosi. |
| Attacchi senza file | Attacchi che non si basano sul rilascio di file sul sistema di destinazione, ma operano esclusivamente nella memoria. |
| Impero di PowerShell | Un framework post-exploitation che utilizza PowerShell per operazioni offensive. |
| Tattiche di vivere della terra | Sfruttare gli strumenti integrati per attività dannose. |
Man mano che la tecnologia si evolve, aumenteranno anche le tecniche utilizzate sia dagli aggressori che dai difensori. Il futuro dei LOLBin e delle loro contromisure probabilmente coinvolgerà:
-
Rilevamento basato sull'intelligenza artificiale: le soluzioni di sicurezza basate sull'intelligenza artificiale miglioreranno il rilevamento e la prevenzione degli attacchi basati su LOLBin analizzando grandi quantità di dati e identificando modelli indicativi di comportamenti dannosi.
-
Miglioramenti dell'analisi comportamentale: i meccanismi di rilevamento basati sul comportamento diventeranno più sofisticati e distingueranno meglio tra attività legittime e dannose.
-
Architettura Zero Trust: Le organizzazioni possono adottare principi zero trust, verificando ogni azione prima di consentirne l'esecuzione, riducendo l'impatto di LOLBins.
-
Sicurezza dell'hardware: Le funzionalità di sicurezza basate su hardware possono aiutare a contrastare gli attacchi LOLBin applicando controlli di isolamento e integrità più forti.
Come i server proxy possono essere utilizzati o associati a LOLBin
I server proxy svolgono un ruolo cruciale nella difesa dagli attacchi basati su LOLBin. Possono essere utilizzati nei seguenti modi:
-
Ispezione del traffico: i server proxy possono ispezionare il traffico di rete per individuare modelli sospetti, comprese le comunicazioni comunemente associate a LOLBins.
-
Filtraggio dei contenuti dannosi: I proxy possono bloccare l'accesso a domini e indirizzi IP dannosi noti utilizzati dagli operatori LOLBin.
-
Decrittografia SSL/TLS: I proxy possono decrittografare e ispezionare il traffico crittografato per rilevare e bloccare i payload dannosi forniti tramite LOLBins.
-
Rilevamento dell'anonimizzazione: I proxy possono identificare e bloccare i tentativi di utilizzare tecniche di anonimizzazione per nascondere il traffico LOLBin.
Link correlati
Per ulteriori informazioni su LOLBins e sulle migliori pratiche di sicurezza informatica, è possibile fare riferimento alle seguenti risorse:
- Vivere della terra ed eludere il rilevamento: un'indagine sulle pratiche comuni – Documento di ricerca di Casey Smith, 2014.
- MITRE ATT&CK – LOLBins – Informazioni sui LOLBin nel framework MITRE ATT&CK.
- Difesa contro LOLBAS – Libro bianco sulla difesa dai binari e dagli script che vivono della terra.
I LOLBin rappresentano una sfida significativa nel panorama in continua evoluzione della sicurezza informatica. Comprendere le loro tecniche e impiegare strategie di difesa proattive è fondamentale per salvaguardare i sistemi e i dati da queste minacce insidiose.
