Un leader nel Magic Quadrant™ Gartner® 2025 per la Protezione di Endpoints. Cinque anni di fila.Leader nel Magic Quadrant™ di Gartner®Leggi il report
La tua azienda è stata compromessa?Blog
IniziareContattaci
Header Navigation - IT
  • Piattaforma
    Panoramica della piattaforma
    • Singularity Platform
      Benvenuti nella Sicurezza Aziendale Integrata
    • IA per la sicurezza
      Leader nelle Soluzioni di Sicurezza basate su AI
    • Sicurezza dell’IA
      Accelera l’adozione dell’IA con strumenti, applicazioni e agenti di IA sicuri.
    • Come funziona
      La Differenza di Singularity XDR
    • Marketplace di Singularity
      Integrazioni con un solo clic per sbloccare la potenza di XDR
    • Prezzi e Pacchetti
      Confronti e indicazioni in sintesi
    Data & AI
    • Purple AI
      Accelerare la SecOps con l'IA generativa
    • Singularity Hyperautomation
      Automatizzare facilmente i processi di sicurezza
    • AI-SIEM
      Il SIEM AI per il SOC autonomo
    • AI Data Pipelines
      Pipeline di dati di sicurezza per AI SIEM e ottimizzazione dei dati
    • Singularity Data Lake
      Alimentato dall'IA, unificato dal lago di dati
    • Singularity Data Lake for Log Analytics
      Ingestione dei dati da ambienti on-premise, cloud o ibridi senza soluzione di continuità
    Endpoint Security
    • Singularity Endpoint
      Prevenzione, rilevamento e risposta autonoma
    • Singularity XDR
      Protezione, rilevamento e risposta nativa e aperta
    • Singularity RemoteOps Forensics
      Orchestrare l'analisi forense su larga scala
    • Singularity Threat Intelligence
      Intelligence avversaria completa
    • Singularity Vulnerability Management
      Scoperta di risorse illecite
    • Singularity Identity
      Rilevamento e risposta alle minacce per l'identità
    Cloud Security
    • Singularity Cloud Security
      Bloccare gli attacchi con una CNAPP basata sull'IA
    • Singularity Cloud Native Security
      Proteggere il cloud e le risorse di sviluppo
    • Singularity Cloud Workload Security
      Piattaforma di protezione del carico di lavoro del cloud in tempo reale
    • Singularity Cloud Data Security
      Rilevamento delle minacce potenziato dall'intelligenza artificiale
    • Singularity Cloud Security Posture Management
      Rilevare e correggere le configurazioni errate del cloud
    Protezione dell’IA
    • Prompt Security
      Proteggere gli strumenti di IA in tutta l’azienda
  • Perché SentinelOne?
    Perché SentinelOne?
    • Perché SentinelOne?
      Cybersecurity per il futuro
    • I nostri Clienti
      Scelta dalle aziende leader nel mondo
    • Riconoscimenti dal mercato
      Testato e comprovato dagli esperti
    • Chi siamo
      Il leader del settore nella sicurezza informatica autonoma
    SentinelOne a confronto
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Settori Verticali
    • Energia
    • Governo Federale
    • Servizi Finanziari
    • Sanitario
    • Scuola Superiore
    • Istruzione Primaria e Secondaria
    • Manifatturiero
    • Retail
    • Settore pubblico statale e locale
  • Servizi
    Managed Services
    • Panoramica dei Managed Services
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Competenza di livello mondiale e Threat Intelligence.
    • Managed Detection & Response
      MDR esperto 24/7/365 per tutto il tuo ambiente.
    • Incident Readiness & Response
      DFIR, preparazione alle violazioni & valutazioni di compromissione.
    Supporto, implementazione e igiene
    • Gestione tecnica dei clienti
      Customer Success con un servizio personalizzato
    • SentinelOne GO
      Consulenza per l'onboarding e l'implementazione
    • SentinelOne University
      Formazione live e on-demand
    • Panoramica dei Servizi
      Soluzioni complete per operazioni di sicurezza senza interruzioni
    • SentinelOne Community
      Community Login
  • Partner
    La Nostra Rete
    • Partner MSSP
      Successo più veloce con SentinelOne
    • Marketplace di Singularity
      Amplia la potenza della tecnologia SentinelOne
    • Partner specializzati nel Cyber Risk
      Ingaggiare i team per gestire le risposte agli incidenti
    • Alleanze Tecnologiche
      Soluzione aziendale integrata su larga scala
    • SentinelOne per AWS
      Ospitato nelle regioni AWS di tutto il mondo
    • Partner di canale
      Offriamo le soluzioni giuste, insieme
    • SentinelOne for Google Cloud
      Sicurezza unificata e autonoma che offre ai difensori un vantaggio su scala globale.
    Per saperne di più sul Programma→
  • Risorse
    Centro Risorse
    • Schede tecniche
    • eBook
    • Video
    • Whitepaper
    • Events
    Accedi a tutte le risorse→
    Blog
    • Riflettori puntati sulle funzionalità
    • Per CISO/CIO
    • Direttamente dalla prima linea
    • Identità
    • Cloud
    • macOS
    • Blog di SentinelOne
    Blog→
    Risorse Tecniche
    • SentinelLABS
    • Glossario del Ransomware
    • Cybersecurity 101
  • Chi siamo
    Informazioni su SentinelOne
    • Informazioni su SentinelOne
      Il leader di mercato nella sicurezza cyber
    • SentinelLABS
      Ricerche sulle minacce per il moderno Threat Hunter
    • Carriere
      Opportunità di lavoro
    • Stampa e notizie
      Annunci dell’azienda
    • Blog
      Tutto sulle minacce alla cyber security, le ultime notizie e molto altro
    • FAQ
      Ottieni risposte alle domande più frequenti
    • DataSet
      La Piattaforma dal vivo
    • S Foundation
      Garantire un futuro più sicuro per tutti
    • S Ventures
      Investire nella sicurezza e nei dati di prossima generazione
IniziareContattaci
Background image for Attacchi Living Off the Land (LOTL): Guida a rilevamento e prevenzione
Cybersecurity 101/Sicurezza degli endpoint/Living Off the Land (LOTL)

Attacchi Living Off the Land (LOTL): Guida a rilevamento e prevenzione

Gli attacchi Living Off the Land (LOTL) utilizzano strumenti nativi del sistema operativo come PowerShell e WMI per eludere i controlli di sicurezza. Questa guida copre le fasi dell'attacco, campagne reali e strategie di difesa.

CS-101_Endpoint.svg
Indice dei contenuti
Cosa sono gli attacchi Living Off the Land (LOTL)?
Tecniche e strumenti dietro gli attacchi Living Off the Land
LOLBins comuni e i loro usi malevoli
Come funzionano gli attacchi Living Off the Land
Fase 1: Accesso iniziale
Fase 2: Esecuzione
Fase 3: Discovery e accesso alle credenziali
Fase 4: Movimento laterale
Fase 5: Persistenza e impatto
Perché gli attacchi Living Off the Land hanno successo
Campagne LOTL reali: attori statali e operatori ransomware
Sfide nel fermare gli attacchi Living Off the Land
Come rilevare gli attacchi Living Off the Land
Segnali comportamentali da monitorare
Fonti di log rilevanti
Errori comuni nella difesa Living Off the Land
Come prevenire gli attacchi Living Off the Land
Punti chiave

Articoli correlati

  • Che cos'è il sandboxing nella cybersecurity? Rilevamento delle minacce
  • EDR vs. CDR: differenze nella rilevazione e nella risposta
  • XDR vs. SIEM vs. SOAR: comprendere le differenze
  • Politica di sicurezza degli endpoint efficace nel 2025
Autore: SentinelOne
Aggiornato: May 8, 2026

Cosa sono gli attacchi Living Off the Land (LOTL)?

Un attaccante rimane all’interno della tua rete per un periodo prolungato. Nessun malware personalizzato. Nessun eseguibile sospetto. Ogni azione utilizza strumenti forniti con il tuo sistema operativo. Questa è la realtà documentata di Volt Typhoon, un attore di minaccia sponsorizzato dallo stato cinese che ha mantenuto l’accesso alle infrastrutture critiche statunitensi, tra cui comunicazioni, energia, trasporti e sistemi idrici, utilizzando strumenti di sistema nativi e credenziali valide, secondo un avviso CISA.

Living off the land, o LOTL, è una classe di comportamenti avversari che abusa di strumenti e processi nativi già presenti su un sistema target. Gli attaccanti utilizzano questi binari affidabili e preinstallati, noti come Living Off the Land Binaries o LOLBins, per mimetizzarsi con l’attività normale del sistema, operare in modo discreto ed evitare di attivare i controlli di sicurezza. Le linee guida CISA pubblicate a marzo 2025 definiscono questo approccio come uno che consente agli attori di minaccia di “evitare di investire nello sviluppo e nella distribuzione di strumenti personalizzati” riducendo al contempo la probabilità di essere individuati o bloccati.

LOTL opera su Windows, Linux, macOS, ambienti cloud e ibridi. Su macOS, il concetto equivalente è chiamato “Living Off the Orchard”, o LOOBins. La tecnica copre l’intero ciclo di vita dell’attacco, dall’esecuzione iniziale alla persistenza, movimento laterale, accesso alle credenziali e esfiltrazione dei dati. Per i difensori, ciò significa che la visibilità comportamentale e un forte controllo sugli strumenti affidabili sono più importanti delle firme per file noti come dannosi.

Invece di scrivere malware che gli strumenti di sicurezza possono rilevare tramite firma e mettere in quarantena, gli attaccanti utilizzano PowerShell, WMI, certutil e altri strumenti che i team IT usano quotidianamente. Il tuo antivirus si fida di loro. Le tue allowlist li approvano. Il tuo SIEM li considera normali. I red team della stessa CISA “utilizzano frequentemente tecniche LOTL pubblicamente note per esecuzione, persistenza, movimento laterale, discovery e accesso alle credenziali, con i difensori di rete che raramente individuano la loro attività”, secondo le  linee guida 2025. Per capire perché questo approccio sia così efficace, occorre partire dalle tecniche e dagli strumenti specifici su cui fanno affidamento gli attaccanti.

Tecniche e strumenti dietro gli attacchi Living Off the Land

Gli attacchi LOTL condividono un insieme comune di elementi costitutivi. Comprendere questi componenti aiuta a distinguere l’amministrazione ordinaria da un’intrusione attiva.

  • Living Off the Land Binaries (LOLBins): Sono eseguibili nativi, firmati dal sistema operativo, che gli attaccanti riutilizzano. Il  progetto LOLBAS, citato direttamente da CISA, cataloga i LOLBins di Windows, mentre  GTFOBins copre Unix/Linux e LOOBins copre macOS.
  • Credenziali valide: LOTL raramente funziona senza account rubati o compromessi. Volt Typhoon ha utilizzato credenziali di dominio admin compromesse per il movimento laterale tramite RDP nelle reti delle vittime.
  • Esecuzione fileless: I payload vengono eseguiti in memoria o tramite software esistente senza scrivere file eseguibili su disco. Questo aiuta gli attaccanti a evitare le firme antivirus. Una tecnica documentata da SANS utilizza Get-Clipboard di PowerShell combinato con Invoke-Expression per eseguire codice che  evita IOC.
  • System Binary Proxy Execution: Classificata sotto  MITRE T1218, consiste nell’utilizzare binari affidabili e firmati per eseguire payload dannosi. Il binario è legittimo, spesso firmato da Microsoft, ma il payload che avvia non lo è.
  • Interpreter di comandi e script: PowerShell (T1059.001), Windows Command Shell (T1059.003) e shell Unix (T1059.004) offrono agli attaccanti capacità di scripting complete tramite strumenti su cui la tua azienda fa affidamento.

Ognuna di queste tecniche ruota attorno a un piccolo insieme di binari che ricorrono in campagna dopo campagna.

LOLBins comuni e i loro usi malevoli

La tabella seguente mappa i LOLBins più frequentemente abusati alla loro funzione prevista e a come gli attaccanti li riutilizzano.

BinarioScopo legittimoAbuso da parte dell’attaccanteMITRE ID
PowerShellAmministrazione di sistema, automazioneEsecuzione di codice in memoria, raccolta di credenziali

T1059.001

WMI / WMICGestione remota dei sistemi, inventarioEsecuzione di processi remoti, persistenza

T1047

certutil.exeGestione dei certificatiDownload di file, codifica/decodifica Base64

T1105

rundll32.exeCaricamento di funzioni DLLEsecuzione proxy di DLL malevole

T1218.011

mshta.exeEsecuzione di applicazioni HTMLEsecuzione di payload HTA malevoli da URL remoti

T1218.005

netsh.exeConfigurazione di retePort forwarding, modifica delle regole firewall

T1090.001

Questi componenti si combinano per creare catene di attacco difficili da individuare se i tuoi strumenti si basano principalmente su firme note o reputazione dei binari. Il passo successivo è capire come gli attaccanti li concatenano.

Come funzionano gli attacchi Living Off the Land

Una tipica catena di attacco LOTL si sviluppa in fasi, ciascuna delle quali utilizza strumenti nativi presenti sul sistema.

Fase 1: Accesso iniziale

L’attaccante ottiene l’accesso tramite una email di phishing, una vulnerabilità sfruttata o una credenziale compromessa. Volt Typhoon ha sfruttato appliance di rete esposte pubblicamente. La campagna “Nearest Neighbor” di APT28  ha utilizzato il Wi-Fi vicino al target per ottenere l’accesso iniziale.

Fase 2: Esecuzione

Invece di depositare un binario personalizzato, l’attaccante invoca interpreter nativi. PowerShell esegue codice in memoria. WMI avvia processi da remoto. L’operazione ransomware Black Basta ha utilizzato  WMI tramite Cobalt Strike per distribuire payload nelle reti delle vittime, concatenando strumenti di sistema nativi per l’esecuzione laterale.

Fase 3: Discovery e accesso alle credenziali

Strumenti come ntdsutil estraggono database Active Directory. CISA ha documentato Volt Typhoon che eseguiva il comando ntdsutil "ac i ntds" ifm "create full C:\Windows\Temp\pro" per  dumpare credenziali. PowerShell interroga i log eventi. net localgroup administrators mappa i confini dei privilegi.

Fase 4: Movimento laterale

Le sessioni RDP utilizzano credenziali admin valide. SMB trasferisce file tra host. netsh crea regole di port proxy per reindirizzare il traffico. Ogni passaggio utilizza uno strumento che il tuo team IT potrebbe usare per motivi legittimi.

Fase 5: Persistenza e impatto

Attività pianificate, sottoscrizioni WMI e modifiche al registro mantengono l’accesso. Nelle operazioni di ransomware, l’encryptor stesso può essere l’unico strumento non nativo nella catena, distribuito solo dopo che l’attaccante ha utilizzato LOLBins per mappare, accedere e preparare ogni target.

L’intero processo si mappa su molteplici  tattiche ATT&CK, dall’esecuzione all’evasione dei controlli, persistenza, accesso alle credenziali, comando e controllo e  movimento laterale. Suddividere LOTL in fasi chiarisce perché i controlli di sicurezza spesso non lo rilevano: il vero vantaggio dell’attaccante deriva dal modo in cui il tuo ambiente è costruito per fidarsi di questi strumenti.

Perché gli attacchi Living Off the Land hanno successo

Gli attacchi LOTL hanno successo perché sfruttano assunzioni architetturali integrate nello stack di sicurezza e nei flussi operativi.

  • Affidabilità per design. I LOLBins hanno hash di file validi e firme digitali rilasciate dal fornitore del sistema operativo. CISA afferma che questi “attributi affidabili possono indurre in errore i difensori di rete” facendoli ritenere sicuri per tutti gli utenti.
  • Invisibili alle firme. Uno studio peer-reviewed su Cybersecurity documenta un bypass specifico: gli attaccanti inseriscono caratteri speciali nel codice della riga di comando che l’interprete Windows rimuove a runtime, facendo sì che il comando eseguito differisca da quello valutato dalle regole.
  • Nascosti nei log di default. CISA conferma che le tecniche LOTL deliberatamente  “limitano l’attività nei log”. Se utilizzi la configurazione di logging predefinita di Windows, ti mancano argomenti della riga di comando, contenuto dei blocchi script PowerShell e catene di discendenza dei processi.
  • Amplificati dalla fatica da alert. Regole generiche sui LOLBin generano un alto volume di falsi positivi. L’avviso CISA sul targeting GRU russo avverte che  “sono necessarie più euristiche” per una caccia efficace ai binari LOTL, per evitare di essere sopraffatti dai falsi positivi. Quando gli analisti smettono di fidarsi degli alert, gli operatori LOTL hanno più margine di manovra.
  • Prolungati dal dwell time. Volt Typhoon è rimasto per un periodo esteso. Ogni giorno senza identificazione è un altro giorno per ricognizione, raccolta di credenziali e posizionamento.

Queste condizioni rendono LOTL difficile da individuare anche in ambienti maturi. Le campagne reali mostrano come questi vantaggi si manifestano nella pratica.

Campagne LOTL reali: attori statali e operatori ransomware

Comprendere come gli avversari reali concatenano i LOLBin rende la minaccia concreta.

  • Volt Typhoon (PRC) ha mantenuto l’accesso a sistemi di comunicazione, energia, trasporti e acqua statunitensi per un periodo prolungato. Gli strumenti documentati includono wmic, ntdsutil, netsh, PowerShell e RDP, tutti documentati nel  profilo Volt Typhoon.
  • APT28 / Fancy Bear (Russia/GRU) ha condotto la  campagna Nearest Neighbor per più anni, utilizzando reg save per dumpare i SAM hive, vssadmin per l’estrazione di NTDS.dit, netsh portproxy per proxy interni e PowerShell per accesso alle credenziali e compressione dati prima dell’esfiltrazione.
  • FIN7 utilizza PowerShell con offuscamento personalizzato, POWERTRASH, una versione modificata di PowerSploit, rundll32.exe per l’esecuzione di DLL e account validi secondo il  profilo FIN7 su target finanziari.

Il pattern in queste campagne è costante: strumenti affidabili, credenziali valide e codice personalizzato minimo. Questo pattern evidenzia anche le sfide specifiche che i difensori devono affrontare.

Sfide nel fermare gli attacchi Living Off the Land

Anche le organizzazioni con programmi di sicurezza maturi faticano contro LOTL perché le tecniche sfruttano lacune che gli strumenti tradizionali non sono progettati per colmare.

  • Collasso del contesto su larga scala. Lo stesso comando PowerShell può rappresentare amministrazione ordinaria o intrusione attiva. Negli ambienti ICS/OT, SANS documenta la forma estrema: gli avversari  hanno modificato HMI e riprogrammato controller utilizzando flussi di lavoro ingegneristici standard.
  • Fallimenti strutturali dei SIEM. I SIEM falliscono contro LOTL per lacune nella copertura dei log, come l’assenza di argomenti della riga di comando nelle configurazioni predefinite, regole fragili, come il pattern matching statico su comportamenti che non corrispondono a pattern noti, e paralisi da falsi positivi.
  • Lacune di visibilità in cloud e ambienti ibridi. SANS rileva che gli attaccanti ora abusano di strumenti cloud per ottenere privilegi amministrativi e muoversi lateralmente tra ambienti cloud. Se le tue difese coprono solo endpoint Windows, non sono sufficienti.
  • Convergenza tra attori statali e ransomware. Il  mapping MITRE ATT&CK mostra che attori statali, tra cui Volt Typhoon e APT28, e operatori ransomware, tra cui Black Basta e FIN7, ora utilizzano tecniche quasi identiche: PowerShell, RDP, WMI, ntdsutil ed esecuzione proxy di binari di sistema. Non puoi segmentare le difese per tipo di attore.

Queste sfide si riflettono direttamente nelle operazioni quotidiane. Superarle inizia dal sapere come appare l’attività LOTL nella tua telemetria.

Come rilevare gli attacchi Living Off the Land

L’attività LOTL manca degli indicatori di compromissione tradizionali. Il rilevamento richiede di spostare il focus da cosa sta girando a come e perché sta girando, utilizzando il contesto comportamentale invece della reputazione dei file.

Segnali comportamentali da monitorare

Le  linee guida congiunte 2025 di CISA raccomandano di applicare euristiche come orario, ruolo utente e discendenza dei processi per distinguere l’uso malevolo da quello ordinario dei LOLBin. I segnali di alto valore includono:

  • PowerShell o cmd.exe avviati da applicazioni Office (Word, Excel, Outlook)
  • ntdsutil o vssadmin eseguiti da account non amministrativi
  • certutil utilizzato per scaricare file invece che per la gestione dei certificati
  • netsh che crea regole di port proxy o modifica configurazioni firewall fuori dalle finestre di change
  • rundll32.exe che carica DLL da directory temporanee o scrivibili dall’utente
  • Creazione di attività pianificate o  sottoscrizioni WMI fuori dalle finestre di manutenzione

SANS suggerisce un  approccio a baseline flessibili utilizzando espressioni regolari PowerShell applicate ai campi dei log eventi, raffinando le regole in modo iterativo man mano che si apprendono i pattern normali dell’ambiente. Questi segnali emergono solo se la telemetria corretta alimenta l’analisi.

Fonti di log rilevanti

Le configurazioni di logging predefinite non rilevano la maggior parte dell’attività LOTL. CISA  dà priorità all’abilitazione delle seguenti fonti:

  • ScriptBlock e Module Logging di PowerShell
  • Audit della creazione di processi da riga di comando (Event ID 4688 con argomenti)
  • Sysmon per creazione processi, connessioni di rete ed eventi file
  • Logging dell’attività WMI (Event ID 5857–5861)

Aggrega questi log in una posizione centralizzata, write-once, e applica user and entity behavior analytics (UEBA) per far emergere anomalie rispetto alle baseline stabilite.

Anche con la telemetria corretta, i team spesso commettono errori evitabili che compromettono la postura di rilevamento.

Errori comuni nella difesa Living Off the Land

I team di sicurezza che riconoscono la minaccia LOTL compromettono comunque le proprie difese a causa di ricorrenti lacune operative.

  1. Policy di allow globale per i LOLBin. Fidarsi che gli strumenti IT legittimi siano sicuri da consentire ovunque amplia la  superficie di attacco. Le linee guida CISA 2025 lo sconsigliano esplicitamente.
  2. Utilizzo delle configurazioni di logging predefinite. Se non hai abilitato ScriptBlock Logging, Module Logging di PowerShell, audit dei processi da riga di comando e logging dell’attività WMI, ti manca la telemetria necessaria per l’analisi LOTL.
  3. Considerare l’assenza di alert come assenza di compromissione. Il silenzio non equivale a sicurezza.
  4. Applicare playbook di risposta IT a ICS/OT. SANS avverte che i controlli IT  possono causare danni se applicati direttamente agli ambienti industriali.
  5. Sostituire la capacità dell’analista con gli strumenti. Gli strumenti integrano ma non sostituiscono la competenza dell’analista nella valutazione del contesto LOTL. Costruire regole senza investire in threat hunting produce rumore, non difesa.

Evitare questi errori inizia con controlli che migliorano la visibilità, riducono l’abuso della fiducia e forniscono più contesto agli analisti.

Come prevenire gli attacchi Living Off the Land

La prevenzione si concentra sulla riduzione della superficie di attacco sfruttata da LOTL: accesso troppo permissivo agli strumenti, autenticazione debole e vincoli insufficienti sugli ambienti di scripting.

  • Abilita logging centralizzato e verboso. La massima priorità CISA è un logging esteso aggregato in una posizione out-of-band, write-once. Senza telemetria dettagliata su PowerShell, creazione processi e attività WMI, l’analisi comportamentale non ha dati su cui lavorare.
  • Implementa allowlisting applicativo. Usa AppLocker o Windows Defender Application Control, WDAC, per limitare l’esecuzione dei LOLBin per utente, percorso e publisher. Blocca o limita mshta.exe, psexec.exe, certutil.exe, wmic.exe e rundll32.exe tranne che per account amministrativi approvati. Inizia in modalità audit prima di applicare enforcement.
  • Applica PowerShell Constrained Language Mode. CLM limita le capacità avanzate di scripting, bloccando metodi .NET come [Convert]::FromBase64String() mantenendo la funzionalità base dei cmdlet. Combinalo con la policy di esecuzione AllSigned e Just Enough Administration, o JEA.
  • Implementa MFA resistente al phishing. CISA lo indica come  priorità immediata per difendersi da LOTL. Applica MFA specificamente per RDP, VPN e accesso a software di remote monitoring and management (RMM) secondo le  linee guida CISA RMM.
  • Adotta un’architettura Zero Trust. CISA e NSA raccomandano fortemente Zero Trust come strategia a lungo termine. LOTL ha successo perché le difese perimetrali si fidano implicitamente degli strumenti interni e delle sessioni autenticate.  Zero Trust elimina questa fiducia implicita tramite microsegmentazione, accesso minimo necessario e verifica continua.

Queste pratiche aumentano il costo di LOTL per un attaccante. Per applicarle alla velocità della macchina, serve una piattaforma costruita attorno al contesto comportamentale.

Proteggete il vostro endpoint

Scoprite come la sicurezza degli endpoint con AI di SentinelOne può aiutarvi a prevenire, rilevare e rispondere alle minacce informatiche in tempo reale.

Richiedi una demo

Punti chiave

Gli attacchi living off the land abusano di strumenti di sistema affidabili e nativi per eludere le difese basate su firma. Attori statali e operatori ransomware ora utilizzano tecniche LOTL simili su Windows, Linux, cloud e ambienti OT. 

Per fermarli servono logging verboso, baseline comportamentali, controllo applicativo, architettura Zero Trust e  cybersecurity AI comportamentale in grado di distinguere l’intento malevolo dall’uso legittimo degli strumenti. Piattaforme che correlano autonomamente intere catene di attacco, come Singularity, sostituiscono il carico di indagine manuale su cui LOTL fa leva.

Domande frequenti

Un attacco living off the land è una tipologia di comportamento avversario in cui gli attaccanti utilizzano strumenti di sistema nativi, preinstallati e binari considerati affidabili, invece di malware personalizzato, per raggiungere i propri obiettivi. 

Affidandosi a strumenti come PowerShell, WMI e certutil già presenti e approvati sul sistema target, gli attaccanti si confondono con le normali attività amministrative ed evitano di attivare i controlli di sicurezza basati su firme.

LOTL si concentra sulla fonte degli strumenti, abusando di binari di sistema legittimi e preinstallati. Il malware fileless si concentra sul metodo di esecuzione, evitando di scrivere file su disco. Spesso si sovrappongono: un attaccante può eseguire un payload PowerShell fileless utilizzando un binario nativo del sistema operativo. 

Tuttavia, gli attacchi fileless possono utilizzare strumenti personalizzati e LOTL può comportare la scrittura di file su disco tramite binari attendibili e firmati come quelli categorizzati sotto MITRE ATT&CK T1218.

PowerShell (T1059.001), WMI/WMIC (T1047), rundll32.exe (T1218.011), certutil.exe (T1105) e cmd.exe (T1059.003) compaiono frequentemente nelle campagne documentate. Gli aggressori preferiscono questi binari perché sono preinstallati, firmati digitalmente dal fornitore del sistema operativo e in grado di eseguire codice, scaricare file o generare processi senza generare allarmi. 

Il  progetto LOLBAS mantiene il catalogo autorevole per Windows, mentre GTFOBins copre Linux e LOOBins copre macOS.

Gli antivirus legacy basati su firme non possono farlo, perché i LOLBins presentano hash e firme digitali validi del fornitore del sistema operativo. La protezione degli endpoint basata su AI comportamentale può farlo, monitorando le relazioni tra processi, gli argomenti della riga di comando e le deviazioni dai baseline stabiliti in tempo reale. 

La tua piattaforma deve correlare le catene di processi tra endpoint, sistemi di identità e telemetria di rete per individuare comportamenti LOTL. Senza questa visibilità cross-domain, i singoli eventi LOTL appaiono benigni.

Inizia dal contesto comportamentale, non dai nomi dei binari. Cerca PowerShell avviato da applicazioni Office, esecuzione di ntdsutil da account non amministrativi o certutil utilizzato per scaricare file. CISA raccomanda di utilizzare ulteriori euristiche, come fascia oraria, ruolo utente e genealogia dei processi, per filtrare i risultati. 

SANS suggerisce un approccio di baseline flessibile utilizzando espressioni regolari applicate ai campi dei log degli eventi. Affina le regole in modo iterativo man mano che apprendi i modelli normali del tuo ambiente.

Il malware personalizzato lascia artefatti unici che i team di threat intelligence possono identificare, attribuire e per cui creare firme. LOTL riduce questo rischio perché ogni comando utilizza uno strumento già presente sul sistema. 

CISA conferma che gli attori PRC utilizzano LOTL specificamente per "confondersi con le normali attività di sistema e di rete, evitare l'identificazione da parte delle difese di rete e limitare la quantità di attività registrata nelle configurazioni di logging comuni."

Scopri di più su Sicurezza degli endpoint

MSSP vs. MDR: quale scegliere?Sicurezza degli endpoint

MSSP vs. MDR: quale scegliere?

Quando si parla di sicurezza informatica, MSSP e MDR sono due attori chiave. Ma qual è la differenza tra loro?

Per saperne di più
Sicurezza degli endpoint per le aziende: una rapida panoramicaSicurezza degli endpoint

Sicurezza degli endpoint per le aziende: una rapida panoramica

Scopri i fondamenti della sicurezza degli endpoint per le aziende. Impara come proteggere i dispositivi aziendali dalle minacce informatiche, garantire la protezione dei dati e mantenere la sicurezza della rete con soluzioni pratiche.

Per saperne di più
Che cos'è un endpoint nella sicurezza informatica?Sicurezza degli endpoint

Che cos'è un endpoint nella sicurezza informatica?

Gli endpoint sono porte d'accesso a dati sensibili, il che li rende obiettivi primari degli attacchi informatici. Una sicurezza efficace degli endpoint richiede strumenti come antivirus, firewall e crittografia per rilevare e mitigare le minacce.

Per saperne di più
5 fornitori di protezione degli endpoint nel 2025Sicurezza degli endpoint

5 fornitori di protezione degli endpoint nel 2025

Scopri i 5 fornitori di protezione degli endpoint per il 2025. Scopri come combattono gli attacchi con l'intelligenza artificiale, il monitoraggio in tempo reale e le piattaforme unificate. Scopri i consigli per la selezione e i vantaggi chiave per ogni settore.

Per saperne di più
La sicurezza degli endpoint che blocca le minacce a una velocità e a una scala superiori a quelle umanamente possibili.

La sicurezza degli endpoint che blocca le minacce a una velocità e a una scala superiori a quelle umanamente possibili.

Un'unica piattaforma intelligente per una visibilità superiore e una prevenzione, un rilevamento e una risposta a livello aziendale su tutta la superficie di attacco, dagli endpoint e i server ai dispositivi mobili.

Proteggere l'endpoint
  • Iniziare
  • Richiedi una demo
  • Presentazione del prodotto
  • Perché SentinelOne
  • Prezzi e Pacchetti
  • Contattaci
  • Contattaci
  • Supporto
  • SentinelOne Status
  • Lingua
  • Piattaforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servizi
  • Wayfinder TDR
  • SentinelOne GO
  • Gestione tecnica dei clienti
  • Servizi di Supporto
  • Settori Verticali
  • Energia
  • Governo Federale
  • Servizi Finanziari
  • Sanitario
  • Scuola Superiore
  • Istruzione Primaria e Secondaria
  • Manifatturiero
  • Retail
  • Settore pubblico statale e locale
  • Cybersecurity for SMB
  • Risorse
  • Blog
  • Labs
  • Video
  • Presentazione del prodotto
  • Events
  • Cybersecurity 101
  • eBooks
  • Stampa
  • Pers
  • Notizie
  • Glossario del Ransomware
  • Azienda
  • Chi siamo
  • I nostri clienti
  • Opportunità di Lavoro
  • Partner
  • Legale e conformità
  • Sicurezza e conformità
  • S Foundation
  • S Ventures

©2026 SentinelOne, Tutti i diritti riservati.

Informativa sulla privacy Condizioni di utilizzo

Italiano