Intelligenza artificiale e movimento laterale
Intervento di Max Heinemeyer, Director of Threat Hunting di Darktrace
Il movimento laterale rappresenta una fase fondamentale dell’attacco informatico. Una volta che l’attaccante ha stabilito una connessione alla rete interna, infatti, potrà procedere dando vita a un’escalation in grado di compromettere i sistemi aggiuntivi e gli account degli utenti con l’obiettivo di espandere sempre di più i punti di appoggio e identificare i sistemi che ospitano i dati in target.
In questo contesto si diffonde sempre maggiormente l’utilizzo di Mimikatz, un tool che si è rivelato fondamentale per portare a termine attacchi ransomware globali estremamente noti come NotPetya e BadRabbit, oltre che i presunti attacchi russi al parlamento tedesco nel 2015 e nel 2017.
Mimikatz è stato originariamente creato dal famoso programmatore francese Benjamin Delpy per evidenziare i difetti di sicurezza nei meccanismi di autenticazione di Windows. Delpy rilasciò Mimikatz come software open source, non certo per facilitare le attività dei criminali informatici quanto per dimostrare quella che viene definita una gestione assai superficiale delle credenziali degli utenti da parte di Windows. Oggi il tool, con le sue numerose evoluzioni, rappresenta un modulo post-exploitation fondamentale, che non può mancare nell’arsenale di ogni cyber-criminale che si rispetti, proprio perché facilita il movimento laterale all’interno della rete target.
Mimikatz è stato progettato per recuperare tutte le password gestite da Windows sfruttando le vulnerabilità del Local Security Authority Subsystem Service (LSASS) di Windows. Questo servizio, progettato per evitare agli utenti il fastidio di doversi nuovamente autenticare ogni volta che cercano di accedere alle risorse interne, anche se utile, presenta numerosi rischi perché funziona mantenendo una cache di tutte le credenziali utilizzate dall’ultimo avvio, con una vulnerabilità evidente per la sicurezza nel caso in cui la cache venga compromessa. Mimikatz saccheggia questa risorsa e consente agli utenti di accedere alle password cleartext e ai protocolli di sicurezza Microsoft NTLM. Con questi dati alla mano, gli aggressori sono in grado di condurre una serie preoccupante di attacchi, rubando ad esempio le credenziali amministrative per l’intero dominio, ottenendo dei ticket in grado di accedere a qualsiasi servizio di rete o altro ancora.
In realtà, scaricare la memoria LSASS è solo uno dei metodi utilizzati da Mimikatz e dai sui numerosi aggiornamenti che si sono susseguiti negli anni per migliorare ancora di più le tecniche per il furto delle credenziali.
Una volta che un malware come NotPetya si stabilisce su un singolo dispositivo, il modulo Mimikatz può sfruttare una varietà di falle di sicurezza per ottenere informazioni sulla password di qualsiasi altro utente o computer che abbia effettuato il login su quella macchina: un primo step fondamentale non solo per sfruttare il movimento laterale ma anche dal punto di vista dell’escalation dei privilegi.
Come molti strumenti di hacking di successo, Mimikatz ha ispirato la creazione di altri programmi con obiettivi simili, che sono in gran parte destinati a eludere i controlli degli antivirus.
Una prima indicazione di base per i team di sicurezza è prestare attenzione riducendo il più possibile le vulnerabilità delle proprie reti a Mimikatz e più in generale ai movimenti laterali, assicurando che ciascun utente disponga di una quantità minima di privilegi, solamente quelli necessari a svolgere il proprio ruolo.
Si tratta di una misura prudente da adottare, anche se purtroppo non sempre sufficiente. Quando ci si trova a dover affrontare minacce sofisticate, infatti, l’implementazione di strumenti di sicurezza degli endpoint e di software antivirus basati su regole e firme, per rilevare le varianti note di Mimikatz, può non essere abbastanza efficace. Mimikatz e i tool simili continuano ad evolversi e gli strumenti tradizionali rimangono imbrigliati in un incessante gioco del gatto col topo, incapace di individuare le varianti ancora sconosciute di Mimikatz, progettate specificamente per aggirarli.
I sistemi di intelligenza artificiale come Darktrace, affrontano la sicurezza in modo sostanzialmente differente, imparando “on the job” il comportamento normale degli utenti e dei dispositivi nella rete che proteggono, senza ricorrere a regole e firme prefissate. Questo approccio avvisa i difensori di qualsiasi attività anomala, indipendentemente dal fatto che tale attività costituisca una minaccia nota o sconosciuta.
In genere, il movimento laterale che coinvolge Mimikatz comporta un picco insolito di attività SMB (Server Message Block), poiché gli aggressori cercano di inscrivere lo strumento per colpire i dispositivi. L’approccio basato sull’intelligenza artificiale di Darktrace non si basa su una stringa di ricerca per il termine “mimikatz.exe”; piuttosto, evidenzia questi comportamenti insoliti che possono comunemente essere ricondotti all’attività di Mimikatz e identifica anche le più sottili deviazioni dal “modello normale di comportamento” del cliente.
In conclusione, se col suo ingresso nel panorama delle minacce informatiche, Mimikatz è diventato un mezzo altamente efficace per gli hacker che si muovono lateralmente all’interno delle reti aziendali e governative, ritengo che solo una cyber IA proattiva possa consentire ai team di sicurezza di reagire prima che gli aggressori riescano a saccheggiare l’intera cache di password della rete, in modo da ostacolare sia Mimikatz sia le sue tante e sempre nuove imitazioni.
Contenuti correlati
-
Il backup nel mirino dei cybercriminali: perché la capacità di recupero dei dati è diventata la nuova frontiera della sicurezza
Per molto tempo il backup è stato considerato il pilastro fondamentale di qualsiasi strategia di protezione dei dati. Disporre di una copia delle informazioni aziendali era ritenuto sinonimo di sicurezza e rappresentava una garanzia sufficiente per proteggersi...
-
Advantech presenta le sue nuove soluzioni basate su Qualcomm Dragonwing IQ-9 per l’intelligenza visiva di livello industriale
Advantech è orgogliosa di presentare le ultime soluzioni di edge AI basate sul processore Qualcomm Dragonwing IQ-9075, tra cui il modulo SMARC AOM-6741, i controller robotici ASR-A503 e AFE-A503 e il sistema edge AI AIR-055. Progettate per...
-
Reply inaugura Reply House: nel cuore di Torino nasce un campus aperto alla ricerca e all’innovazione
Reply inaugura Reply House, il nuovo headquarter del Gruppo a Torino. Un campus dove laboratori per l’AI applicata, uffici, ambienti immersivi, spazi di condivisione e aree verdi compongono un sistema flessibile, capace di connettere competenze diverse e trasformare...
-
Logistica, è carenza di capitale umano: mancano 60.000 figure professionali
Il settore italiano della logistica conto terzi, con un fatturato di 111 miliardi di euro, sale al 43,3% del mercato rispetto al 36,4% del 2009, trainato da piattaforme digitali e sistemi avanzati per ottimizzare la produttività, nonostante...
-
Ignition e AI insieme per una gestione più intelligente delle risorse idriche
Ignition, la piattaforma software di Inductive Automation, distribuita in Italia da EFA Automazione/Relatech, conferma ancora una volta la propria capacità di evolvere insieme alle esigenze degli utenti e di integrarsi con le tecnologie più innovative. Lo dimostra...
-
Cybersecurity OT e continuità operativa: il ruolo di octoplant nella produzione resiliente
La trasformazione digitale sta cambiando profondamente il volto dell’industria manifatturiera. L’integrazione tra sistemi IT e OT, la diffusione dell’Industrial IoT, l’adozione di piattaforme software sempre più evolute e la crescente disponibilità di dati stanno rendendo gli impianti...
-
Equilibrare l’utilizzo dell’intelligenza artificiale e della simulazione nella progettazione del prodotto
La progettazione di qualsiasi prodotto, nel mondo odierno, è un processo complesso e articolato in più fasi, basato in larga misura sull’utilizzo della tecnologia di simulazione. Le simulazioni ad elevata fedeltà permettono ad ingegneri e progettisti di...
-
Un futuro con la Physical AI: Ferrari e Pirelli protagonisti ai Tech Talks 2026 di Siemens
Si è recentemente svolta la terza edizione dei Tech Talks, l’appuntamento annuale di Siemens che riunisce imprese e partner per confrontarsi sulle principali sfide e opportunità della trasformazione digitale e sostenibile. Con il titolo “Where Real meets Digital”, l’edizione 2026 ha...
-
Industrial Cyber Security: come agire sotto attacco
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. In caso di...
-
Industrial Cyber Security: le normative
Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte. Ritenete che le...















