I migliori LOLBin usati dai criminali informatici

I cyberattacchi più comuni si basano su poche componenti comuni del sistema operativo.

I criminali informatici hanno usato a lungo programmi e componenti legittime del sistema operativo per attaccare gli utenti di Microsoft Windows, una tattica nota come Living off the Land. Così facendo, stanno cercando di prendere diversi piccioni con una “cyberfava”, riducendo il costo dello sviluppo di un toolkit malware, minimizzando la loro impronta del sistema operativo e mascherando la loro attività tra le azioni IT legittime.

In altre parole, l’obiettivo principale è quello di rendere più difficile il rilevamento della loro attività dannosa. Per questo motivo, gli esperti di sicurezza hanno a lungo monitorato l’attività di eseguibili, script e librerie potenzialmente non sicure, arrivando a mantenere una sorta di registro sotto il progetto LOLBAS su GitHub.

I nostri colleghi del servizio Kaspersky Managed Detection and Response (MDR), che proteggono numerose aziende in una vasta gamma di aree di business, vedono spesso questo approccio negli attacchi reali. Nel Managed Detection and Response Analyst Report, esaminano le componenti di sistema più tipicamente utilizzati per attaccare le aziende moderne. Ecco cosa hanno scoperto.

L’oro va a PowerShell

PowerShell, un motore software e un linguaggio di scripting con un’interfaccia a riga di comando (CLI), è il tool legittimo di gran lunga più comune tra i criminali informatici, nonostante gli sforzi di Microsoft per renderlo più sicuro e controllabile. Degli incidenti identificati dal nostro servizio MDR, il 3,3% ha coinvolto un tentativo di exploit PowerShell. Inoltre, limitando l’indagine ai soli incidenti critici, sappiamo che PowerShell ha avuto una parte in uno su cinque (il 20,3%, per essere precisi).

L’argento va a rundll32.exe

Al secondo posto abbiamo il processo host rundll32, che viene utilizzato per eseguire il codice dalle librerie a collegamento dinamico (DLL). È stato coinvolto nel 2% di tutti gli incidenti e nel 5,1% di quelli critici.

Il bronzo va a diverse utility

Abbiamo trovato cinque tool presenti nell’1,9% di tutti gli incidenti:

  • te.exe, parte del Test Authoring and Execution Framework,
  • PsExec.exe, uno strumento per eseguire processi su sistemi remoti,
  • CertUtil.exe, uno strumento per gestire le informazioni dalle autorità di certificazione,
  • Reg.exe, il Microsoft Registry Console Tool, che può essere usato per cambiare e aggiungere chiavi nel registro di sistema dalla riga di comando,
  • wscript.exe, Windows Script Host, progettato per eseguire script in linguaggi di scripting.

Questi cinque file eseguibili sono stati utilizzati nel 7,2% degli incidenti critici.

Gli esperti di Kaspersky MDR hanno inoltre osservato l’uso di msiexec.exe, remote.exe, atbrocker.exe, cscript.exe, netsh.exe, schtasks.exe, excel.exe, print.exe, mshta.exe, msbuild.exe, powerpnt.exe, dllhost.exe, regsvr32.exe, winword.exe e shell32.exe.

Cliccate qui per altri risultati dal Managed Detection and Response Analyst Report.

Consigli