Intelligenza artificiale e movimento laterale
-
- Tweet
- Pin It
- Condividi per email
-
Intervento di Max Heinemeyer, Director of Threat Hunting di Darktrace
Il movimento laterale rappresenta una fase fondamentale dell’attacco informatico. Una volta che l’attaccante ha stabilito una connessione alla rete interna, infatti, potrà procedere dando vita a un’escalation in grado di compromettere i sistemi aggiuntivi e gli account degli utenti con l’obiettivo di espandere sempre di più i punti di appoggio e identificare i sistemi che ospitano i dati in target.
In questo contesto si diffonde sempre maggiormente l’utilizzo di Mimikatz, un tool che si è rivelato fondamentale per portare a termine attacchi ransomware globali estremamente noti come NotPetya e BadRabbit, oltre che i presunti attacchi russi al parlamento tedesco nel 2015 e nel 2017.
Mimikatz è stato originariamente creato dal famoso programmatore francese Benjamin Delpy per evidenziare i difetti di sicurezza nei meccanismi di autenticazione di Windows. Delpy rilasciò Mimikatz come software open source, non certo per facilitare le attività dei criminali informatici quanto per dimostrare quella che viene definita una gestione assai superficiale delle credenziali degli utenti da parte di Windows. Oggi il tool, con le sue numerose evoluzioni, rappresenta un modulo post-exploitation fondamentale, che non può mancare nell’arsenale di ogni cyber-criminale che si rispetti, proprio perché facilita il movimento laterale all’interno della rete target.
Mimikatz è stato progettato per recuperare tutte le password gestite da Windows sfruttando le vulnerabilità del Local Security Authority Subsystem Service (LSASS) di Windows. Questo servizio, progettato per evitare agli utenti il fastidio di doversi nuovamente autenticare ogni volta che cercano di accedere alle risorse interne, anche se utile, presenta numerosi rischi perché funziona mantenendo una cache di tutte le credenziali utilizzate dall’ultimo avvio, con una vulnerabilità evidente per la sicurezza nel caso in cui la cache venga compromessa. Mimikatz saccheggia questa risorsa e consente agli utenti di accedere alle password cleartext e ai protocolli di sicurezza Microsoft NTLM. Con questi dati alla mano, gli aggressori sono in grado di condurre una serie preoccupante di attacchi, rubando ad esempio le credenziali amministrative per l’intero dominio, ottenendo dei ticket in grado di accedere a qualsiasi servizio di rete o altro ancora.
In realtà, scaricare la memoria LSASS è solo uno dei metodi utilizzati da Mimikatz e dai sui numerosi aggiornamenti che si sono susseguiti negli anni per migliorare ancora di più le tecniche per il furto delle credenziali.
Una volta che un malware come NotPetya si stabilisce su un singolo dispositivo, il modulo Mimikatz può sfruttare una varietà di falle di sicurezza per ottenere informazioni sulla password di qualsiasi altro utente o computer che abbia effettuato il login su quella macchina: un primo step fondamentale non solo per sfruttare il movimento laterale ma anche dal punto di vista dell’escalation dei privilegi.
Come molti strumenti di hacking di successo, Mimikatz ha ispirato la creazione di altri programmi con obiettivi simili, che sono in gran parte destinati a eludere i controlli degli antivirus.
Una prima indicazione di base per i team di sicurezza è prestare attenzione riducendo il più possibile le vulnerabilità delle proprie reti a Mimikatz e più in generale ai movimenti laterali, assicurando che ciascun utente disponga di una quantità minima di privilegi, solamente quelli necessari a svolgere il proprio ruolo.
Si tratta di una misura prudente da adottare, anche se purtroppo non sempre sufficiente. Quando ci si trova a dover affrontare minacce sofisticate, infatti, l’implementazione di strumenti di sicurezza degli endpoint e di software antivirus basati su regole e firme, per rilevare le varianti note di Mimikatz, può non essere abbastanza efficace. Mimikatz e i tool simili continuano ad evolversi e gli strumenti tradizionali rimangono imbrigliati in un incessante gioco del gatto col topo, incapace di individuare le varianti ancora sconosciute di Mimikatz, progettate specificamente per aggirarli.
I sistemi di intelligenza artificiale come Darktrace, affrontano la sicurezza in modo sostanzialmente differente, imparando “on the job” il comportamento normale degli utenti e dei dispositivi nella rete che proteggono, senza ricorrere a regole e firme prefissate. Questo approccio avvisa i difensori di qualsiasi attività anomala, indipendentemente dal fatto che tale attività costituisca una minaccia nota o sconosciuta.
In genere, il movimento laterale che coinvolge Mimikatz comporta un picco insolito di attività SMB (Server Message Block), poiché gli aggressori cercano di inscrivere lo strumento per colpire i dispositivi. L’approccio basato sull’intelligenza artificiale di Darktrace non si basa su una stringa di ricerca per il termine “mimikatz.exe”; piuttosto, evidenzia questi comportamenti insoliti che possono comunemente essere ricondotti all’attività di Mimikatz e identifica anche le più sottili deviazioni dal “modello normale di comportamento” del cliente.
In conclusione, se col suo ingresso nel panorama delle minacce informatiche, Mimikatz è diventato un mezzo altamente efficace per gli hacker che si muovono lateralmente all’interno delle reti aziendali e governative, ritengo che solo una cyber IA proattiva possa consentire ai team di sicurezza di reagire prima che gli aggressori riescano a saccheggiare l’intera cache di password della rete, in modo da ostacolare sia Mimikatz sia le sue tante e sempre nuove imitazioni.
Contenuti correlati
-
MORE AI 2024, appuntamento a Modena il 13 novembre con E4 Computer EngineeringIl 13 novembre, dalle ore 14:00 presso la Camera di Commercio di Modena, E4 Computer Engineering, azienda italiana attiva nel settore delle soluzioni hardware e software ad altissimo contenuto tecnologico per High-Performance Computing (HPC), intelligenza artificiale, quantum...
-
Accordo di partnership fra Seco e NXPSeco e NXP Semiconductors annunciano un importante traguardo nella loro collaborazione: la piattaforma software Clea di Seco sarà resa disponibile per tutti gli utilizzatori dei chip NXP e perfettamente integrata con la piattaforma di servizi EdgeLock 2GO...
-
DigiKey amplia l’offerta con oltre 611 mila nuovi prodotti nel terzo trimestre 2024DigiKey, distributore commerciale che offre a livello globale una vasta selezione di componenti tecnici e prodotti di automazione a magazzino per spedizione immediata, annuncia l’ampliamento del suo portafoglio con l’introduzione di nuovi prodotti e nuovi partner fornitori...
-
Il mercato italiano dei Big Data vale 3,42 miliardi di euro (+20%) con l’intelligenza artificiale che traina gli investimentiSecondo una recente ricerca dell’Osservatorio Big Data & Business Analytics della School of Management del Politecnico di Milano, nel 2024 la spesa delle aziende italiane in risorse infrastrutturali, software e servizi connessi alla gestione e analisi dei dati crescerà...
-
Stormshield Data Security ottiene la certificazione Cspn da AnssiStormshield, esperto europeo in cybersecurity, ha ottenuto la certificazione di livello 1 (CSPN) per la versione on-premise della sua soluzione di protezione dei dati Stormshield Data Security (SDS). Questo riconoscimento da parte dell’Agence nationale de la sécurité des...
-
Slow design vs arredamento ‘usa e getta’: premio GammaDonna 2024Puntano sulle tecnologie verdi, sul biotech, sull’AI, non dimenticandosi di digitalizzare i servizi di caregiving, le imprenditrici innovative salite oggi sul palco della Centrale nella Nuvola Lavazza di Torino per la Finale del Premio GammaDonna che dal 2004 valorizza...
-
Prism AimmGen di Flir usa i dati sintetici per l’addestramento dell’AITeledyne Flir ha reso disponibile Prism AimmGen, l’ultima novità della famiglia di software Teledyne Flir Prism. Prism AimmGen è un servizio di generazione di modelli di intelligenza artificiale (AI) non soggetti alla regolamentazione ITAR che consente la...
-
Centro Software alla A&T Automation & testing Nordest di VicenzaCentro Software, azienda di riferimento nel mercato italiano nello sviluppo di soluzioni ERP, partecipa alla Fiera A&T Automation&Testing Nordest di Vicenza, dal 6 all’8 novembre 2024 (Padiglione 6 | Stand C05-C07). La crescita di Centro Software nel...
-
Automazione e compliance alla normativa UE sugli imballaggi con OmronL’Europa si sta preparando per apportare cambiamenti radicali alla legislazione sugli imballaggi. Patricia Torres, esperta di sostenibilità di Omron Industrial Automation Europe, spiega in che modo l’automazione della tracciabilità digitalizzata può aiutare i produttori di beni di...
-
L’AI generativa aumenta l’efficienza produttiva nel manifatturieroNella produzione, anche piccoli errori possono portare al blocco della linea, in uno scenario da incubo che l’AI generativa promette di rendere sempre meno frequente. Stefan Bergstein, Chief Architect Manufacturing di Red Hat, illustra le nuove opportunità...
Scopri le novità scelte per te
-
MORE AI 2024, appuntamento a Modena il 13 novembre con E4 Computer Engineering
Il 13 novembre, dalle ore 14:00 presso la Camera di Commercio di Modena, E4 Computer Engineering, azienda...
-
Accordo di partnership fra Seco e NXP
Seco e NXP Semiconductors annunciano un importante traguardo nella loro collaborazione: la piattaforma software Clea di Seco...
Notizie Tutti ▶
-
MORE AI 2024, appuntamento a Modena il 13 novembre con E4 Computer EngineeringIl 13 novembre, dalle ore 14:00 presso la Camera di Commercio di Modena, E4...
-
Nuovo laboratorio di prototipazione rapida Parker ChomericsChomerics Division di Parker Hannifin Corporation sta per inaugurare un laboratorio per il...
-
Parker crea i nuovi Pump & Motor Service Centers, ampliando il supporto EmeaParker Hannifin ha creato una rete completa di Pump & Motor Service Centers certificati...
Prodotti Tutti ▶
-
Delta presenta le soluzioni di potenza e di gestione termica ad alta efficienza per il cloud computing, l’automotive e l’industria ad Electronica 2024Delta presenta soluzioni ad alta efficienza energetica per i settori dei data center AI e...
-
Delta a SPS 2024: motion controller avanzati IIoT, servoazionamenti e HMIDelta presenta a SPS di Norimberga 2024 le sue ultime novità nel campo dell’automazione industriale....
-
Murrelektronik affronta le sfide di automazione a SPS Norimberga 2024Murrelektronik sarà a SPS 2024 a Norimberga dal 12 al 14 novembre, Pad. 9,...
