Gli esperti di sicurezza continuano a migliorare le loro ricerche sulle tecniche di attacco, condividendo questi risultati per creare consapevolezza e cultura nelle aziende. A questo proposito, viene riportato alla luce la risposta agli attacchi manuali perpetrati sui sistemi Unix, un tempo predominante tra gli early incident response. All’inizio gli hacker dovevano utilizzare le utility già installate sul sistema o compilare le proprie utility o exploit per sferrare i loro attacchi. In seguito, l’attività si è ulteriormente sviluppata, traducendosi prima in script kiddies e, in seguito, in Metasploit e altri strumenti di penetration testing per arrivare oggi a un termine di nuovo conio: Living Off the Land. Oggi questa tecnica si è ulteriormente evoluta e gli esperti accendono i riflettori sul Bring Your Own land (BYOL).
Che cos’è il Living off the land
Innanzitutto è necessario fare chiarezza. Cos’è il Living Off the Land? Si tratta di una tecnica particolare, applicata da un utente malintenzionato che, invece di un malware, per violare una rete utilizza gli strumenti e le credenziali esistenti su un determinato sistema (da cui il termine attacco senza malware). La premessa è che le credenziali o gli strumenti utilizzati per infiltrarsi in un ambiente siano già presenti nel sistema. L’installazione di nuovi strumenti o la creazione di nuovi account root, infatti, potrebbero attirare l’attenzione degli amministratori della sicurezza che, andando a indagare, potrebbero rilevare e quindi far abortire l’attacco. Con la tecnica del Living Off the Land l’utente malintenzionato utilizza quegli strumenti di gestione del sistema legittimi e incorporati nel sistema operativo o nei sistemi di gestione del sistema di terze parti che consentono di accedere ad applicazioni, dati e servizi. Uno degli altri controlli di sicurezza che gli utenti malintenzionati ignorano frequentemente è l’autenticazione nome utente/password a fattore singolo. In questo caso l’hacker cattura le credenziali o utilizza un hash delle credenziali per accedere ad altri sistemi.
Come contrastare gli attacchi bring-your-own-land e potenziare le difese aziendali?
Che cos’è il Bring Your Own Land (Byol)
Il Bring Your Own Land o BYOL, è un termine coniato da FireEye che fa riferimento a quegli aggressori che per sferrare i loro attacchi sfruttano gli strumenti che già esistono in un sistema come, ad esempio PowerShell. Rispetto a PowerShell Microsoft ha messo in atto significativi sforzi di sviluppo per mettere a tacere i critici che si sono lamentati del fatto che Windows non avesse un linguaggio di scripting abbastanza potente. Poiché gli aggressori troveranno il collegamento più debole, indipendentemente dai dettagli, è fondamentale disporre di strumenti per rilevare e rispondere agli attacchi contro gli strumenti di sicurezza degli endpoint.
Si ha il bring your own land (Byol) quando un utente malintenzionato scrive e utilizza i propri strumenti, inclusi gli strumenti di attacco basati su PowerShell, contro il sistema di destinazione; in questo caso specifico si parla di Registry-resident, metodo comunemente sfruttato negli attacchi fileless. In sintesi, l’hacker inietta del codice all’interno del registro di Windows (un file .doc, .lnk, .pdf o un link contenuto in un messaggio e-mail); nel momento in cui un utente apre l’allegato o clicca sul link, il malware scrive il payload all’interno del registro di Windows e poi sparisce. Il payload contiene generalmente uno script che viene mascherato rimuovendo i privilegi di accesso dell’utente o con tecniche standard di offuscamento. Lo script invoca un software Windows legittimo, come ad esempio PowerShell, per eseguire e inserire codice all’interno di processi Windows standard (regsvr32, dllhost ecc.), di modo che il codice stesso non possa essere rilevato da prodotti antivirus: non sono infatti presenti file infetti o processi maligni.
PowerShell, secondo gli esperti, viene utilizzato negli attacchi bring your own land nel framework Cobalt Strike utilizzato nei test di penetrazione. Per quanto PowerShell sia stato bloccato durante un recente test di penetrazione, non essendo stata utilizzata la whitelisting sul sistema poteva essere eseguito qualsiasi codice binario.
Durante un attacco bring your own land (Byol), gli hacker utilizzano gli assembler C # e .NET per creare sistemi binari personalizzati utilizzando le stesse API utilizzate dagli strumenti di attacco di PowerShell; questo consente agli hacker di copiare la funzionalità dagli strumenti di attacco in nuovi file eseguibili che possono quindi essere utilizzati sul sistema.
Questi eseguibili personalizzati, infatti, non vengono rilevati dagli strumenti di sicurezza degli endpoint che cercano determinate attività di PowerShell. Una volta che un utente malintenzionato esegue il codice su un endpoint, può utilizzare il caricamento come parte della tecnica bring-your-own-land (Byol) e, lavorando sulla memoria, può così eseguire l’attacco senza doverlo trascrivere su disco.
Bring your own land: come può difendersi un’azienda
Ridurre la superficie di attacco e limitare l’impatto del cybercrime è fondamentale sin da quando è stata pubblicata la serie Rainbow. In effetti è dagli anni ’90 che si parla di non installare compilatori su un server in modo che gli autori degli attacchi non possano usarli per compilare il loro codice exploit per ottenere l’accesso come root. Mentre la maggior parte dei sistemi Windows non ha un compilatore installato, la maggior parte dei sistemi ora include PowerShell anche se a fare la differenza negli ultimi 20 anni è l’aggiunta di whitelisting.
Sempre è comunque è importante implementare controlli di sicurezza per monitorare e limitare l’utilizzo di PowerShell come, ad esempio, il monitoraggio degli argomenti da riga di comando dei processi sospetti o il de-offuscamento di script PowerShell dannosi tramite Script Block Logging.
I ricercatori di FireEye hanno anche menzionato la profilazione delle API utilizzate dall’endpoint e la registrazione di tali eventi per gli allarmi. Questa funzionalità potrebbe essere presente negli strumenti di sicurezza degli endpoint, pertanto gli amministratori dovrebbero verificare se esiste qualche funzionalità che possa impedirlo. Questi controlli di sicurezza possono generare un’enorme quantità di dati e possono essere gestiti al meglio con un SIEM o strumento di analisi dei dati in un centro operativo di sicurezza. Poiché gli aggressori troveranno il collegamento più debole indipendentemente dai dettagli, è fondamentale disporre di strumenti per rilevare e rispondere agli attacchi contro gli strumenti di sicurezza degli endpoint. Se gli strumenti di attacco sono strumenti PowerShell, strumenti personalizzati, moduli Metasploit o altri strumenti commerciali, il monitoraggio dell’attività su un endpoint risulterà quanto mai strategico, fornendo una visibilità significativa sul modo in cui gli utenti interagiscono con i dispositivi.