Skip to main content
Leader nel Magic Quadrant™ di Gartner® 2026 per la Protezione degli Endpoint. Sei anni consecutivi.Scopri perché
Background image for Attacchi Living Off the Land (LOTL): Guida al Rilevamento e alla Prevenzione
Cybersecurity 101/Sicurezza degli endpoint/Living Off the Land (LOTL)

Attacchi Living Off the Land (LOTL): Guida al Rilevamento e alla Prevenzione

Gli attacchi Living Off the Land (LOTL) utilizzano strumenti nativi del sistema operativo come PowerShell e WMI per eludere i controlli di sicurezza. Questa guida copre le fasi dell'attacco, campagne reali e strategie di difesa.

Autore: SentinelOne

Cosa sono gli attacchi Living Off the Land (LOTL)?

Un attaccante rimane all’interno della tua rete per un periodo prolungato. Nessun malware personalizzato. Nessun eseguibile sospetto. Ogni azione utilizza strumenti forniti con il tuo sistema operativo. Questa è la realtà documentata di Volt Typhoon, un attore di minaccia sponsorizzato dallo stato cinese che ha mantenuto l’accesso alle infrastrutture critiche statunitensi, tra cui comunicazioni, energia, trasporti e sistemi idrici, utilizzando strumenti di sistema nativi e credenziali valide, secondo un avviso CISA.

Living off the land, o LOTL, è una classe di comportamenti avversari che abusa di strumenti e processi nativi già presenti su un sistema target. Gli attaccanti utilizzano questi binari affidabili e preinstallati, noti come Living Off the Land Binaries o LOLBins, per mimetizzarsi con l’attività normale del sistema, operare in modo discreto ed evitare di attivare i controlli di sicurezza. Le linee guida CISA pubblicate a marzo 2025 definiscono questo approccio come uno che consente agli attori di minaccia di "evitare di investire nello sviluppo e nella distribuzione di strumenti personalizzati" riducendo al contempo la probabilità di essere scoperti o bloccati.

LOTL opera su Windows, Linux, macOS, ambienti cloud e ibridi. Su macOS, il concetto equivalente è chiamato "Living Off the Orchard", o LOOBins. La tecnica copre l’intero ciclo di vita dell’attacco, dall’esecuzione iniziale alla persistenza, movimento laterale, accesso alle credenziali e esfiltrazione dei dati. Per i difensori, ciò significa che la visibilità comportamentale e un forte controllo sugli strumenti affidabili sono più importanti delle firme per file noti come malevoli.

Invece di scrivere malware che gli strumenti di sicurezza possono rilevare tramite firma e mettere in quarantena, gli attaccanti utilizzano PowerShell, WMI, certutil e altri strumenti che i team IT usano quotidianamente. Il tuo antivirus si fida di loro. Le tue allowlist li approvano. Il tuo SIEM li considera normali. I red team della stessa CISA "utilizzano frequentemente tecniche LOTL pubblicamente note per esecuzione, persistenza, movimento laterale, discovery e accesso alle credenziali, con i difensori di rete che raramente rilevano la loro attività", secondo le linee guida 2025. Per capire perché questo approccio sia così efficace, occorre partire dalle tecniche e dagli strumenti specifici su cui fanno affidamento gli attaccanti.

Living Off the Land - Featured Image | SentinelOne

Tecniche e strumenti dietro gli attacchi Living Off the Land

Gli attacchi LOTL condividono un insieme comune di elementi costitutivi. Comprendere questi componenti aiuta a distinguere l’amministrazione ordinaria dall’intrusione attiva.

  • Living Off the Land Binaries (LOLBins): Sono eseguibili nativi, firmati dal sistema operativo, che gli attaccanti riutilizzano. Il progetto LOLBAS, citato direttamente da CISA, cataloga i LOLBins di Windows, mentre GTFOBins copre Unix/Linux e LOOBins copre macOS.
  • Credenziali valide: LOTL raramente funziona senza account rubati o compromessi. Volt Typhoon ha utilizzato credenziali di dominio admin compromesse per il movimento laterale tramite RDP nelle reti delle vittime.
  • Esecuzione fileless: I payload vengono eseguiti in memoria o tramite software esistente senza scrivere file eseguibili su disco. Questo aiuta gli attaccanti a evitare le firme antivirus. Una tecnica documentata da SANS utilizza Get-Clipboard di PowerShell combinato con Invoke-Expression per eseguire codice che evita IOC.
  • System Binary Proxy Execution: Classificata sotto MITRE T1218, consiste nell’utilizzare binari affidabili e firmati per eseguire payload malevoli. Il binario è legittimo, spesso firmato da Microsoft, ma il payload che avvia non lo è.
  • Interpreti di comandi e script: PowerShell (T1059.001), Windows Command Shell (T1059.003) e shell Unix (T1059.004) offrono agli attaccanti capacità di scripting complete tramite strumenti di cui l’azienda si serve quotidianamente.

Ognuna di queste tecniche ruota attorno a un piccolo insieme di binari che ricorrono in campagna dopo campagna.

LOLBins comuni e i loro usi malevoli

La tabella seguente mappa i LOLBins più frequentemente abusati alla loro funzione legittima e a come gli attaccanti li riutilizzano.

BinarioScopo legittimoAbuso da parte dell’attaccanteMITRE ID
PowerShellAmministrazione di sistema, automazioneEsecuzione di codice in memoria, raccolta credenziali

T1059.001

WMI / WMICGestione remota del sistema, inventarioEsecuzione di processi remoti, persistenza

T1047

certutil.exeGestione certificatiDownload di file, codifica/decodifica Base64

T1105

rundll32.exeCaricamento di funzioni DLLEsecuzione proxy di DLL malevole

T1218.011

mshta.exeEsecuzione di applicazioni HTMLEsecuzione di payload HTA malevoli da URL remoti

T1218.005

netsh.exeConfigurazione di retePort forwarding, modifica delle regole firewall

T1090.001

Questi componenti si combinano per creare catene di attacco difficili da individuare se i tuoi strumenti si basano principalmente su firme note o reputazione dei binari. Il passo successivo è capire come gli attaccanti li concatenano.

Come funzionano gli attacchi Living Off the Land

Una tipica catena di attacco LOTL si sviluppa in fasi, ciascuna delle quali utilizza strumenti nativi presenti sul sistema.

Fase 1: Accesso iniziale

L’attaccante ottiene l’accesso tramite una email di phishing, una vulnerabilità sfruttata o una credenziale compromessa. Volt Typhoon ha sfruttato appliance di rete esposte pubblicamente. La campagna "Nearest Neighbor" di APT28 ha utilizzato il Wi-Fi vicino al target per ottenere l’accesso iniziale.

Fase 2: Esecuzione

Invece di rilasciare un binario personalizzato, l’attaccante invoca interpreti nativi. PowerShell esegue codice in memoria. WMI avvia processi da remoto. L’operazione ransomware Black Basta ha utilizzato WMI tramite Cobalt Strike per distribuire payload nelle reti delle vittime, concatenando strumenti di sistema nativi per l’esecuzione laterale.

Fase 3: Discovery e accesso alle credenziali

Strumenti come ntdsutil estraggono database Active Directory. CISA ha documentato Volt Typhoon che eseguiva il comando ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" per dumpare credenziali. PowerShell interroga i log eventi. net localgroup administrators mappa i confini dei privilegi.

Fase 4: Movimento laterale

Le sessioni RDP utilizzano credenziali admin valide. SMB trasferisce file tra host. netsh crea regole di port proxy per reindirizzare il traffico. Ogni passaggio utilizza uno strumento che il tuo team IT potrebbe usare per motivi legittimi.

Fase 5: Persistenza e impatto

Attività pianificate, sottoscrizioni WMI e modifiche al registro mantengono l’accesso. Nelle operazioni di ransomware, l’encryptor stesso può essere l’unico strumento non nativo nella catena, distribuito solo dopo che l’attaccante ha utilizzato LOLBins per mappare, accedere e preparare ogni target.

L’intero processo si mappa su molteplici tattiche ATT&CK, dall’esecuzione all’evasione dei controlli, persistenza, accesso alle credenziali, comando e controllo e movimento laterale. Suddividere LOTL in fasi chiarisce perché i controlli di sicurezza spesso non lo rilevano: il vero vantaggio dell’attaccante deriva dal modo in cui il tuo ambiente è progettato per fidarsi di questi strumenti.

Perché gli attacchi Living Off the Land hanno successo

Gli attacchi LOTL hanno successo perché sfruttano assunzioni architetturali integrate nello stack di sicurezza e nei flussi operativi.

  • Affidabilità per design. I LOLBins hanno hash di file validi e firme digitali rilasciate dal fornitore del sistema operativo. CISA afferma che questi "attributi affidabili possono indurre in errore i difensori di rete" facendoli ritenere sicuri per tutti gli utenti.
  • Invisibili alle firme. Uno studio peer-reviewed su Cybersecurity documenta un bypass specifico: gli attaccanti inseriscono caratteri speciali nel codice della riga di comando che l’interprete Windows rimuove a runtime, facendo sì che il comando eseguito differisca da quello valutato dalle regole.
  • Nascosti nei log di default. CISA conferma che le tecniche LOTL deliberatamente "limitano l’attività nei log". Se utilizzi la configurazione di logging predefinita di Windows, ti mancano argomenti della riga di comando, contenuto dei blocchi script PowerShell e catene di discendenza dei processi.
  • Amplificati dalla fatica da alert. Regole generiche sui LOLBin generano un alto volume di falsi positivi. L’avviso CISA sul targeting GRU russo avverte che "sono necessarie più euristiche" per una caccia efficace ai binari LOTL, per evitare di essere sopraffatti dai falsi positivi. Quando gli analisti smettono di fidarsi degli alert, gli operatori LOTL hanno più margine di manovra.
  • Prolungati dal dwell time. Volt Typhoon è rimasto per un periodo prolungato. Ogni giorno senza identificazione è un giorno in più per ricognizione, raccolta credenziali e posizionamento.

Queste condizioni rendono LOTL difficile da individuare anche in ambienti maturi. Le campagne reali mostrano come questi vantaggi si manifestano nella pratica.

Campagne LOTL reali: attori statali e operatori ransomware

Comprendere come gli avversari reali concatenano i LOLBin rende la minaccia concreta.

  • Volt Typhoon (PRC) ha mantenuto l’accesso a sistemi di comunicazione, energia, trasporti e acqua statunitensi per un periodo prolungato. Gli strumenti documentati includono wmic, ntdsutil, netsh, PowerShell e RDP, tutti documentati nel profilo Volt Typhoon.
  • APT28 / Fancy Bear (Russia/GRU) ha condotto la campagna Nearest Neighbor per più anni, utilizzando reg save per dumpare i SAM hive, vssadmin per l’estrazione di NTDS.dit, netsh portproxy per proxy interni e PowerShell per accesso alle credenziali e compressione dati prima dell’esfiltrazione.
  • FIN7 utilizza PowerShell con offuscamento personalizzato, POWERTRASH, una versione modificata di PowerSploit, rundll32.exe per esecuzione DLL e account validi secondo il profilo FIN7 su target finanziari.

Il pattern in queste campagne è costante: strumenti affidabili, credenziali valide e codice personalizzato minimo. Questo pattern evidenzia anche le sfide specifiche che i difensori devono affrontare.

Sfide nel fermare gli attacchi Living Off the Land

Anche le organizzazioni con programmi di sicurezza maturi faticano contro LOTL perché le tecniche sfruttano lacune che gli strumenti tradizionali non sono progettati per colmare.

  • Collasso del contesto su larga scala. Lo stesso comando PowerShell può rappresentare amministrazione ordinaria o intrusione attiva. Negli ambienti ICS/OT, SANS documenta la forma estrema: gli avversari hanno modificato HMI e riprogrammato controller usando workflow ingegneristici standard.
  • Limiti strutturali dei SIEM. I SIEM falliscono contro LOTL per lacune nella copertura dei log, come l’assenza di argomenti della riga di comando nelle configurazioni predefinite, regole fragili, come il pattern matching statico su comportamenti che non corrispondono a pattern malevoli noti, e paralisi da falsi positivi.
  • Lacune di visibilità in cloud e ambienti ibridi. SANS rileva che gli attaccanti ora abusano di strumenti cloud per ottenere privilegi amministrativi e muoversi lateralmente tra ambienti cloud. Se le tue difese coprono solo endpoint Windows, non sono sufficienti.
  • Convergenza tra attori statali e ransomware. La mappatura MITRE ATT&CK mostra che attori statali, tra cui Volt Typhoon e APT28, e operatori ransomware, tra cui Black Basta e FIN7, ora usano tecniche quasi identiche: PowerShell, RDP, WMI, ntdsutil ed esecuzione proxy di binari di sistema. Non puoi segmentare le difese per tipo di attore.

Queste sfide si riflettono direttamente nelle operazioni quotidiane. Superarle inizia dal riconoscere come appare l’attività LOTL nella tua telemetria.

Come rilevare gli attacchi Living Off the Land

L’attività LOTL manca di indicatori di compromissione tradizionali. Il rilevamento richiede di spostare il focus da cosa sta girando a come e perché sta girando, utilizzando il contesto comportamentale invece della reputazione dei file.

Segnali comportamentali da monitorare

Le linee guida congiunte 2025 di CISA raccomandano di applicare euristiche come orario, ruolo utente e discendenza dei processi per distinguere l’uso malevolo da quello ordinario dei LOLBin. Segnali di alto valore includono:

  • PowerShell o cmd.exe avviati da applicazioni Office (Word, Excel, Outlook)
  • ntdsutil o vssadmin eseguiti da account non amministrativi
  • certutil utilizzato per scaricare file invece che per la gestione certificati
  • netsh che crea regole di port proxy o modifica configurazioni firewall fuori dalle finestre di change
  • rundll32.exe che carica DLL da directory temporanee o scrivibili dall’utente
  • Creazione di attività pianificate o sottoscrizioni WMI fuori dalle finestre di manutenzione

SANS suggerisce un approccio a baseline flessibili usando espressioni regolari PowerShell applicate ai campi dei log eventi, raffinando le regole iterativamente man mano che si apprendono i pattern normali dell’ambiente. Questi segnali emergono solo se la telemetria giusta alimenta l’analisi.

Fonti di log rilevanti

Le configurazioni di logging predefinite non rilevano la maggior parte dell’attività LOTL. CISA dà priorità all’abilitazione di quanto segue:

  • ScriptBlock e Module Logging di PowerShell
  • Audit della creazione di processi da riga di comando (Event ID 4688 con argomenti)
  • Sysmon per creazione processi, connessioni di rete ed eventi file
  • Logging attività WMI (Event ID 5857–5861)

Aggrega questi log in una posizione centralizzata e write-once e applica analisi comportamentale di utenti e entità (UEBA) per far emergere anomalie rispetto alle baseline stabilite.

Anche con la telemetria giusta, i team spesso commettono errori evitabili che compromettono la postura di rilevamento.

Errori comuni nella difesa Living Off the Land

I team di sicurezza che riconoscono la minaccia LOTL spesso compromettono le proprie difese a causa di lacune operative ricorrenti.

  1. Policy di allowlist indiscriminate per i LOLBin. Fidarsi che gli strumenti IT legittimi siano sicuri da consentire globalmente amplia la superficie di attacco. Le linee guida CISA 2025 lo sconsigliano esplicitamente.
  2. Utilizzo delle configurazioni di logging predefinite. Se non hai abilitato ScriptBlock Logging, Module Logging di PowerShell, audit della creazione di processi da riga di comando e logging attività WMI, ti manca la telemetria necessaria per l’analisi LOTL.
  3. Considerare l’assenza di alert come assenza di compromissione. Il silenzio non equivale a sicurezza.
  4. Applicare playbook di risposta IT a ICS/OT. SANS avverte che i controlli IT possono causare danni se applicati direttamente agli ambienti industriali.
  5. Sostituire la capacità dell’analista con gli strumenti. Gli strumenti supportano ma non possono sostituire la competenza dell’analista nella valutazione del contesto LOTL. Costruire regole senza investire in threat hunting produce rumore, non difesa.

Evitare questi errori inizia con controlli che migliorano la visibilità, riducono l’abuso della fiducia e forniscono più contesto agli analisti.

Come prevenire gli attacchi Living Off the Land

La prevenzione si concentra sulla riduzione della superficie di attacco sfruttata da LOTL: accesso troppo permissivo agli strumenti, autenticazione debole e vincoli insufficienti sugli ambienti di scripting.

  • Abilita logging centralizzato e verboso. La massima priorità CISA è un logging esteso aggregato in una posizione out-of-band e write-once. Senza telemetria dettagliata su PowerShell, creazione processi e attività WMI, l’analisi comportamentale non ha dati su cui lavorare.
  • Implementa allowlisting applicativa. Usa AppLocker o Windows Defender Application Control, WDAC, per limitare l’esecuzione dei LOLBin per utente, percorso e publisher. Blocca o limita mshta.exe, psexec.exe, certutil.exe, wmic.exe e rundll32.exe tranne che per account amministrativi approvati. Inizia in modalità audit prima di applicare enforcement.
  • Applica PowerShell Constrained Language Mode. CLM limita le capacità avanzate di scripting, bloccando metodi .NET come [Convert]::FromBase64String() mantenendo la funzionalità base dei cmdlet. Combinalo con la policy di esecuzione AllSigned e Just Enough Administration, o JEA.
  • Implementa MFA resistente al phishing. CISA lo indica come una priorità immediata per difendersi da LOTL. Applica MFA specificamente per RDP, VPN e accesso a software di remote monitoring and management (RMM) secondo le linee guida CISA RMM.
  • Adotta un’architettura Zero Trust. CISA e NSA raccomandano fortemente Zero Trust come strategia a lungo termine. LOTL ha successo perché le difese perimetrali si fidano implicitamente degli strumenti interni e delle sessioni autenticate. Zero Trust elimina questa fiducia implicita tramite microsegmentazione, accesso minimo necessario e verifica continua.

Queste pratiche aumentano il costo di LOTL per un attaccante. Per applicarle alla velocità della macchina, serve una piattaforma costruita attorno al contesto comportamentale.

Proteggete il vostro endpoint

Scoprite come la sicurezza degli endpoint con AI di SentinelOne può aiutarvi a prevenire, rilevare e rispondere alle minacce informatiche in tempo reale.

Richiedi una demo

Key Takeaways

Gli attacchi Living off the Land abusano di strumenti di sistema nativi e affidabili per eludere le difese basate su firma. Attori statali e operatori ransomware ora utilizzano tecniche LOTL simili su Windows, Linux, cloud e ambienti OT. 

Per fermarli servono logging verboso, baseline comportamentali, controllo applicativo, architettura Zero Trust e  cybersecurity AI comportamentale che distingua l’intento malevolo dall’uso legittimo degli strumenti. Piattaforme che correlano autonomamente intere catene di attacco, come Singularity, sostituiscono il carico di indagine manuale su cui LOTL fa leva.

Domande frequenti

Un attacco living off the land è una tipologia di comportamento avversario in cui gli attaccanti utilizzano strumenti di sistema nativi, preinstallati e binari considerati affidabili, invece di malware personalizzato, per raggiungere i propri obiettivi. 

Affidandosi a strumenti come PowerShell, WMI e certutil già presenti e approvati sul sistema target, gli attaccanti si confondono con le normali attività amministrative ed evitano di attivare i controlli di sicurezza basati su firme.

LOTL si concentra sulla fonte degli strumenti, abusando di binari di sistema legittimi e preinstallati. Il malware fileless si concentra sul metodo di esecuzione, evitando di scrivere file su disco. Spesso si sovrappongono: un attaccante può eseguire un payload PowerShell fileless utilizzando un binario nativo del sistema operativo. 

Tuttavia, gli attacchi fileless possono utilizzare strumenti personalizzati e LOTL può comportare la scrittura di file su disco tramite binari attendibili e firmati come quelli categorizzati sotto MITRE ATT&CK T1218.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) e cmd.exe (T1059.003) compaiono frequentemente nelle campagne documentate. Gli aggressori preferiscono questi binari perché sono preinstallati, firmati digitalmente dal fornitore del sistema operativo e in grado di eseguire codice, scaricare file o avviare processi senza generare allarmi. 

Il progetto LOLBAS mantiene il catalogo autorevole per Windows, mentre GTFOBins copre Linux e LOOBins copre macOS.

L'antivirus legacy basato su firme non può farlo, perché i LOLBins presentano hash e firme digitali validi del fornitore del sistema operativo. La protezione degli endpoint basata su AI comportamentale può farlo, monitorando le relazioni tra processi, gli argomenti della riga di comando e le deviazioni dalle baseline stabilite in tempo reale. 

La tua piattaforma deve correlare le catene di processi tra endpoint, sistemi di identità e telemetria di rete per individuare comportamenti LOTL. Senza questa visibilità cross-domain, i singoli eventi LOTL appaiono benigni.

Inizia dal contesto comportamentale, non dai nomi dei binari. Cerca PowerShell avviato da applicazioni Office, esecuzione di ntdsutil da account non amministrativi o certutil utilizzato per scaricare file. CISA raccomanda di utilizzare ulteriori euristiche, come l'orario, il ruolo dell'utente e l'anomalia della catena dei processi, per filtrare i risultati. 

SANS suggerisce un approccio di baseline flessibile utilizzando espressioni regolari applicate ai campi dei log degli eventi. Affina le regole in modo iterativo man mano che apprendi i modelli normali del tuo ambiente.

Il malware personalizzato lascia artefatti unici che i team di threat intelligence possono identificare, attribuire e per cui creare firme. LOTL riduce questo rischio perché ogni comando utilizza uno strumento già presente sul sistema. 

CISA conferma che gli attori PRC utilizzano LOTL specificamente per "confondersi con le normali attività di sistema e di rete, evitare l'identificazione da parte delle difese di rete e limitare la quantità di attività registrata nelle configurazioni di logging comuni."

Scopri di più su Sicurezza degli endpoint

Politica di sicurezza degli endpoint efficace nel 2025Sicurezza degli endpoint

Politica di sicurezza degli endpoint efficace nel 2025

Scopri come creare una solida politica di sicurezza degli endpoint per il 2025. Questa guida tratta gli elementi essenziali, le best practice e le strategie per proteggere la tua organizzazione dalle moderne minacce informatiche.

Per saperne di più
MSSP vs. MDR: quale scegliere?Sicurezza degli endpoint

MSSP vs. MDR: quale scegliere?

Quando si parla di sicurezza informatica, MSSP e MDR sono due attori chiave. Ma qual è la differenza tra loro?

Per saperne di più
Sicurezza degli endpoint per le aziende: una rapida panoramicaSicurezza degli endpoint

Sicurezza degli endpoint per le aziende: una rapida panoramica

Scopri i fondamenti della sicurezza degli endpoint per le aziende. Impara come proteggere i dispositivi aziendali dalle minacce informatiche, garantire la protezione dei dati e mantenere la sicurezza della rete con soluzioni pratiche.

Per saperne di più
Che cos'è un endpoint nella sicurezza informatica?Sicurezza degli endpoint

Che cos'è un endpoint nella sicurezza informatica?

Gli endpoint sono porte d'accesso a dati sensibili, il che li rende obiettivi primari degli attacchi informatici. Una sicurezza efficace degli endpoint richiede strumenti come antivirus, firewall e crittografia per rilevare e mitigare le minacce.

Per saperne di più
La sicurezza degli endpoint che blocca le minacce a una velocità e a una scala superiori a quelle umanamente possibili.

La sicurezza degli endpoint che blocca le minacce a una velocità e a una scala superiori a quelle umanamente possibili.

Un'unica piattaforma intelligente per una visibilità superiore e una prevenzione, un rilevamento e una risposta a livello aziendale su tutta la superficie di attacco, dagli endpoint e i server ai dispositivi mobili.

Proteggere l'endpoint