Intelligenza artificiale e movimento laterale

Pubblicato il 6 marzo 2019

Intervento di Max Heinemeyer, Director of Threat Hunting di Darktrace

Il movimento laterale rappresenta una fase fondamentale dell’attacco informatico. Una volta che l’attaccante ha stabilito una connessione alla rete interna, infatti, potrà procedere dando vita a un’escalation in grado di compromettere i sistemi aggiuntivi e gli account degli utenti con l’obiettivo di espandere sempre di più i punti di appoggio e identificare i sistemi che ospitano i dati in target.

In questo contesto si diffonde sempre maggiormente l’utilizzo di Mimikatz, un tool che si è rivelato fondamentale per portare a termine attacchi ransomware globali estremamente noti come NotPetya e BadRabbit, oltre che i presunti attacchi russi al parlamento tedesco nel 2015 e nel 2017.

Mimikatz è stato originariamente creato dal famoso programmatore francese Benjamin Delpy per evidenziare i difetti di sicurezza nei meccanismi di autenticazione di Windows. Delpy rilasciò Mimikatz come software open source, non certo per facilitare le attività dei criminali informatici quanto per dimostrare quella che viene definita una gestione assai superficiale delle credenziali degli utenti da parte di Windows. Oggi il tool, con le sue numerose evoluzioni, rappresenta un modulo post-exploitation fondamentale, che non può mancare nell’arsenale di ogni cyber-criminale che si rispetti, proprio perché facilita il movimento laterale all’interno della rete target.

Mimikatz è stato progettato per recuperare tutte le password gestite da Windows sfruttando le vulnerabilità del Local Security Authority Subsystem Service (LSASS) di Windows. Questo servizio, progettato per evitare agli utenti il fastidio di doversi nuovamente autenticare ogni volta che cercano di accedere alle risorse interne, anche se utile, presenta numerosi rischi perché funziona mantenendo una cache di tutte le credenziali utilizzate dall’ultimo avvio, con una vulnerabilità evidente per la sicurezza nel caso in cui la cache venga compromessa. Mimikatz saccheggia questa risorsa e consente agli utenti di accedere alle password cleartext e ai protocolli di sicurezza Microsoft NTLM. Con questi dati alla mano, gli aggressori sono in grado di condurre una serie preoccupante di attacchi, rubando ad esempio le credenziali amministrative per l’intero dominio, ottenendo dei ticket in grado di accedere a qualsiasi servizio di rete o altro ancora.

In realtà, scaricare la memoria LSASS è solo uno dei metodi utilizzati da Mimikatz e dai sui numerosi aggiornamenti che si sono susseguiti negli anni per migliorare ancora di più le tecniche per il furto delle credenziali.

Una volta che un malware come NotPetya si stabilisce su un singolo dispositivo, il modulo Mimikatz può sfruttare una varietà di falle di sicurezza per ottenere informazioni sulla password di qualsiasi altro utente o computer che abbia effettuato il login su quella macchina: un primo step fondamentale non solo per sfruttare il movimento laterale ma anche dal punto di vista dell’escalation dei privilegi.

Come molti strumenti di hacking di successo, Mimikatz ha ispirato la creazione di altri programmi con obiettivi simili, che sono in gran parte destinati a eludere i controlli degli antivirus.

Una prima indicazione di base per i team di sicurezza è prestare attenzione riducendo il più possibile le vulnerabilità delle proprie reti a Mimikatz e più in generale ai movimenti laterali, assicurando che ciascun utente disponga di una quantità minima di privilegi, solamente quelli necessari a svolgere il proprio ruolo.

Si tratta di una misura prudente da adottare, anche se purtroppo non sempre sufficiente. Quando ci si trova a dover affrontare minacce sofisticate, infatti, l’implementazione di strumenti di sicurezza degli endpoint e di software antivirus basati su regole e firme, per rilevare le varianti note di Mimikatz, può non essere abbastanza efficace. Mimikatz e i tool simili continuano ad evolversi e gli strumenti tradizionali rimangono imbrigliati in un incessante gioco del gatto col topo, incapace di individuare le varianti ancora sconosciute di Mimikatz, progettate specificamente per aggirarli.

I sistemi di intelligenza artificiale come Darktrace, affrontano la sicurezza in modo sostanzialmente differente, imparando “on the job” il comportamento normale degli utenti e dei dispositivi nella rete che proteggono, senza ricorrere a regole e firme prefissate. Questo approccio avvisa i difensori di qualsiasi attività anomala, indipendentemente dal fatto che tale attività costituisca una minaccia nota o sconosciuta.

In genere, il movimento laterale che coinvolge Mimikatz comporta un picco insolito di attività SMB (Server Message Block), poiché gli aggressori cercano di inscrivere lo strumento per colpire i dispositivi. L’approccio basato sull’intelligenza artificiale di Darktrace non si basa su una stringa di ricerca per il termine “mimikatz.exe”; piuttosto, evidenzia questi comportamenti insoliti che possono comunemente essere ricondotti all’attività di Mimikatz e identifica anche le più sottili deviazioni dal “modello normale di comportamento” del cliente.

In conclusione, se col suo ingresso nel panorama delle minacce informatiche, Mimikatz è diventato un mezzo altamente efficace per gli hacker che si muovono lateralmente all’interno delle reti aziendali e governative, ritengo che solo una cyber IA proattiva possa consentire ai team di sicurezza di reagire prima che gli aggressori riescano a saccheggiare l’intera cache di password della rete, in modo da ostacolare sia Mimikatz sia le sue tante e sempre nuove imitazioni.



Contenuti correlati

  • Mecolpress pressa
    AI generativa per le presse Mecolpress per lo stampaggio a caldo

    Mecolpress, punto di riferimento nel settore della produzione di presse per lo stampaggio a caldo di leghe metalliche, ha scelto Userbot.AI, l’agente di intelligenza artificiale generativa made in Italy, per agevolare il Service nelle attività di manutenzione...

  • Le previsioni di Unit 42: Il 2025 sarà l’anno della disruption

    Sam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...

  • SAS Hackathon 2024, un’italiana tra i vincitori

    SAS ha annunciato la conclusione del SAS Hackathon 2024, l’evento globale dove data scientist, developer, data analyst, data lovers, tech expert, professionisti e professioniste di ogni settore si sfidano per creare soluzioni innovative a problemi umanitari e...

  • Panasonic Connect Blue Yonder AI
    Soluzioni innovative per la supply chain con le soluzioni AI di Panasonic Connect

    La nuova divisione europea di ricerca e sviluppo di Panasonic Connect collabora con clienti e partner per creare soluzioni innovative per la supply chain. Lavorando a stretto contatto con la controllata di Panasonic, Blue Yonder, la divisione...

  • Farnell ispira il settore con Top Tech Voices

    Farnell ha lanciato una nuova serie di interviste, Top Tech Voices, che con la partecipazione di figure di spicco nel settore tecnologico mettono in evidenza le ultime tendenze tecnologiche con le concezioni più innovative. Nei sei episodi...

  • ally Consulting Paolo Aversa Transizione 5.0 AI
    L’importanza della AI in Transizione 5.0 per il manifatturiero con ally Consulting

    Il Piano Transizione 5.0 rappresenta una svolta cruciale per il sistema industriale italiano. A sostenerlo è Paolo Aversa, managing director di ally Consulting. Ancora in fase di definizione, questo piano potrebbe sostituire il precedente 4.0, con l’intento...

  • Prysmian migrazione cloud AI generativa SAP
    Infrastruttura cloud e AI generativa con SAP per Prysmian

    In soli quattro mesi, Prysmian, azienda di punta a livello mondiale nella produzione, fornitura e progettazione di sistemi in cavo e accessori per le telecomunicazioni e l’energia, ha aggiornato e migrato l’intera infrastruttura IT del Gruppo sul...

  • Osservatori digitali PoliMi Startup thinking investimenti digitali 2025
    Investimenti digitali in Italia, +1,5% nel 2025 secondo gli Osservatori del PoliMi

    Nonostante l’incertezza economica, le aziende italiane confermano gli investimenti nel digitale, ritenuto essenziale per mantenere competitività. Secondo i dati della ricerca degli Osservatori Startup Thinking e Digital Transformation Academy del Politecnico di Milano, per il 2025 si...

  • Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulics

    Grazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...

  • Scopri tutto il potenziale di pylon vTools di Basler

    In campo della visione artificiale, pylon vTools di Basler offre funzioni avanzate di elaborazione e analisi delle immagini, basate su algoritmi classici e di intelligenza artificiale. Grazie a un’interfaccia intuitiva, è possibile creare pipeline robuste per applicazioni...

Scopri le novità scelte per te x