Intelligenza artificiale e movimento laterale
-
- Tweet
- Pin It
- Condividi per email
-
Intervento di Max Heinemeyer, Director of Threat Hunting di Darktrace
Il movimento laterale rappresenta una fase fondamentale dell’attacco informatico. Una volta che l’attaccante ha stabilito una connessione alla rete interna, infatti, potrà procedere dando vita a un’escalation in grado di compromettere i sistemi aggiuntivi e gli account degli utenti con l’obiettivo di espandere sempre di più i punti di appoggio e identificare i sistemi che ospitano i dati in target.
In questo contesto si diffonde sempre maggiormente l’utilizzo di Mimikatz, un tool che si è rivelato fondamentale per portare a termine attacchi ransomware globali estremamente noti come NotPetya e BadRabbit, oltre che i presunti attacchi russi al parlamento tedesco nel 2015 e nel 2017.
Mimikatz è stato originariamente creato dal famoso programmatore francese Benjamin Delpy per evidenziare i difetti di sicurezza nei meccanismi di autenticazione di Windows. Delpy rilasciò Mimikatz come software open source, non certo per facilitare le attività dei criminali informatici quanto per dimostrare quella che viene definita una gestione assai superficiale delle credenziali degli utenti da parte di Windows. Oggi il tool, con le sue numerose evoluzioni, rappresenta un modulo post-exploitation fondamentale, che non può mancare nell’arsenale di ogni cyber-criminale che si rispetti, proprio perché facilita il movimento laterale all’interno della rete target.
Mimikatz è stato progettato per recuperare tutte le password gestite da Windows sfruttando le vulnerabilità del Local Security Authority Subsystem Service (LSASS) di Windows. Questo servizio, progettato per evitare agli utenti il fastidio di doversi nuovamente autenticare ogni volta che cercano di accedere alle risorse interne, anche se utile, presenta numerosi rischi perché funziona mantenendo una cache di tutte le credenziali utilizzate dall’ultimo avvio, con una vulnerabilità evidente per la sicurezza nel caso in cui la cache venga compromessa. Mimikatz saccheggia questa risorsa e consente agli utenti di accedere alle password cleartext e ai protocolli di sicurezza Microsoft NTLM. Con questi dati alla mano, gli aggressori sono in grado di condurre una serie preoccupante di attacchi, rubando ad esempio le credenziali amministrative per l’intero dominio, ottenendo dei ticket in grado di accedere a qualsiasi servizio di rete o altro ancora.
In realtà, scaricare la memoria LSASS è solo uno dei metodi utilizzati da Mimikatz e dai sui numerosi aggiornamenti che si sono susseguiti negli anni per migliorare ancora di più le tecniche per il furto delle credenziali.
Una volta che un malware come NotPetya si stabilisce su un singolo dispositivo, il modulo Mimikatz può sfruttare una varietà di falle di sicurezza per ottenere informazioni sulla password di qualsiasi altro utente o computer che abbia effettuato il login su quella macchina: un primo step fondamentale non solo per sfruttare il movimento laterale ma anche dal punto di vista dell’escalation dei privilegi.
Come molti strumenti di hacking di successo, Mimikatz ha ispirato la creazione di altri programmi con obiettivi simili, che sono in gran parte destinati a eludere i controlli degli antivirus.
Una prima indicazione di base per i team di sicurezza è prestare attenzione riducendo il più possibile le vulnerabilità delle proprie reti a Mimikatz e più in generale ai movimenti laterali, assicurando che ciascun utente disponga di una quantità minima di privilegi, solamente quelli necessari a svolgere il proprio ruolo.
Si tratta di una misura prudente da adottare, anche se purtroppo non sempre sufficiente. Quando ci si trova a dover affrontare minacce sofisticate, infatti, l’implementazione di strumenti di sicurezza degli endpoint e di software antivirus basati su regole e firme, per rilevare le varianti note di Mimikatz, può non essere abbastanza efficace. Mimikatz e i tool simili continuano ad evolversi e gli strumenti tradizionali rimangono imbrigliati in un incessante gioco del gatto col topo, incapace di individuare le varianti ancora sconosciute di Mimikatz, progettate specificamente per aggirarli.
I sistemi di intelligenza artificiale come Darktrace, affrontano la sicurezza in modo sostanzialmente differente, imparando “on the job” il comportamento normale degli utenti e dei dispositivi nella rete che proteggono, senza ricorrere a regole e firme prefissate. Questo approccio avvisa i difensori di qualsiasi attività anomala, indipendentemente dal fatto che tale attività costituisca una minaccia nota o sconosciuta.
In genere, il movimento laterale che coinvolge Mimikatz comporta un picco insolito di attività SMB (Server Message Block), poiché gli aggressori cercano di inscrivere lo strumento per colpire i dispositivi. L’approccio basato sull’intelligenza artificiale di Darktrace non si basa su una stringa di ricerca per il termine “mimikatz.exe”; piuttosto, evidenzia questi comportamenti insoliti che possono comunemente essere ricondotti all’attività di Mimikatz e identifica anche le più sottili deviazioni dal “modello normale di comportamento” del cliente.
In conclusione, se col suo ingresso nel panorama delle minacce informatiche, Mimikatz è diventato un mezzo altamente efficace per gli hacker che si muovono lateralmente all’interno delle reti aziendali e governative, ritengo che solo una cyber IA proattiva possa consentire ai team di sicurezza di reagire prima che gli aggressori riescano a saccheggiare l’intera cache di password della rete, in modo da ostacolare sia Mimikatz sia le sue tante e sempre nuove imitazioni.
Contenuti correlati
-
AI in simulazione e HPC con Altair al Farnborough Airshow 2024Altair porta in mostra le ultime innovazioni nel campo della simulazione ingegneristica, dell’intelligenza artificiale (AI) e del calcolo ad alte prestazioni (HPC) al Farnborough International Airshow 2024, in programma dal 22 al 26 luglio presso il Farnborough...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezioneMoxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550 del padiglione 4.1 ispirandosi al tema “Forging Mobility Ahead” (definire lo sviluppo futuro della mobilità). L’azienda presenterà il primo router...
-
Giochi olimpici di Parigi 2024: il fattore sicurezzaDopo la conclusione dei campionati europei di calcio ‘Euro 2024’, l’attenzione degli appassionati di sport è ora rivolta ai Giochi Olimpici di Parigi di quest’estate, uno dei più grandi palcoscenici del mondo che proprio per questo è...
-
Un podcast innovazione e AI nell’industria manifatturieraA fine 2023 Google ha presentato GNoMe, un’intelligenza artificiale specializzata nello scoprire nuovi materiali: ne ha trovati 2.2 milioni, di cui 380.000 considerati stabili, un bel passo in avanti se si considera che fino a quella data...
-
Automazione continua dai dati al modello di AIBeckhoff ha sviluppato uno strumento software che permette la creazione automatizzata di modelli di intelligenza artificiale, integrandoli nel flusso di lavoro della sua piattaforma d’automazione. Così si semplifica lo sviluppo e l’allenamento di modelli AI per specifici...
-
Le innovazioni dei controllori industrialiI controllori industriali continuano a occupare una posizione strategica nell’era della trasformazione digitale. In particolare, le tecnologie basate su IoT, Edge computing, AI, robotica e virtualizzazione ne stanno elevando le potenzialità a un nuovo livello. Leggi l’articolo
-
La regolamentazione sull’AI: la visione di AppianL’Europa si è posta all’avanguardia nella regolamentazione sull’AI grazie all’EU AI Act, la prima legge di questo tipo al mondo completa e approvata all’unanimità dagli Stati membri dell’UE il 21 maggio 2024. All’interno del quadro normativo dell’UE...
-
Security Summit sbarca a CagliariL’innovazione digitale è certamente motore di sviluppo per il settore turistico alberghiero, così come può avere enormi potenzialità per le piccole e medie imprese del Made in Italy; imprescindibile è, tuttavia, la consapevolezza dei rischi cyber che...
-
Di qui al 2035: i futuri desiderabili dell’Osservatorio FuturesNel 2035 la maggior parte delle tecnologie sarà intelligente e generativa, in grado di rendere più efficienti le attività e migliorare il benessere delle persone, dalla cura personale all’alimentazione, dall’intrattenimento alla socialità. Oltre all’Intelligenza Artificiale Generativa, altre...
-
Droni, automazione e intelligenza artificiale: Inspire sviluppa la piattaforma per il monitoraggio degli incendiNelle attività di spegnimento di un incendio boschivo, la Protezione civile e i Vigili del fuoco si trovano frequentemente a dover affrontare la riaccensione di fuochi da punti caldi considerati già spenti, soprattutto durante la notte quando...
Scopri le novità scelte per te
-
AI in simulazione e HPC con Altair al Farnborough Airshow 2024
Altair porta in mostra le ultime innovazioni nel campo della simulazione ingegneristica, dell’intelligenza artificiale (AI) e del...
-
InnoTrans 2024: Moxa presenta le soluzioni di comunicazione ed elaborazione dati con protezione
Moxa, fornitore di soluzioni di comunicazione basate su IP, si presenterà a InnoTrans 2024 nello stand 550...
Notizie Tutti ▶
-
Al via la sesta call dedicata alle start-up di Berkeley SkyDeck Europe, MilanoÈ partita la sesta call per start-up che verranno selezionate per partecipare al programma di...
-
Economia circolare, Siemens e Osai GreenTech al recupero dei metalli preziosi dai RAEENell’economia lineare l’estrazione, la lavorazione e lo smaltimento dei metalli preziosi comportano un consumo...
-
1° ottobre, appuntamento con la II edizione dell’IO-Link DaySulla scia del successo della prima edizione, torna l’evento di Consorzio PI Italia dedicato...
Prodotti Tutti ▶
-
Valvole pneumatiche Emerson per un’automazione più flessibile e portata ottimizzataEmerson ha reso disponibili le valvole pneumatiche Aventics Serie XV. Le valvole della serie...
-
Banner Engineering presenta la serie TL70 Basic: torrette di segnalazione modulari da 70mmBanner Engineering, specialista mondiale nella fornitura di soluzioni per l’automazione industriale, è lieta di...
-
Switch Ethernet di Red Lion per operazioni mission-critical in ambienti difficiliRed Lion, produttore di tecnologie innovative che consentono alle organizzazioni industriali di accedere, connettersi...
