{"id":25682,"date":"2021-09-30T09:41:18","date_gmt":"2021-09-30T07:41:18","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=25682"},"modified":"2022-05-05T12:27:25","modified_gmt":"2022-05-05T10:27:25","slug":"most-used-lolbins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/most-used-lolbins\/25682\/","title":{"rendered":"I migliori LOLBin usati dai criminali informatici"},"content":{"rendered":"

I criminali informatici hanno usato a lungo programmi e componenti legittime del sistema operativo per attaccare gli utenti di Microsoft Windows, una tattica nota come Living off the Land<\/a>. Cos\u00ec facendo, stanno cercando di prendere diversi piccioni con una \u201ccyberfava\u201d, riducendo il costo dello sviluppo di un toolkit malware, minimizzando la loro impronta del sistema operativo e mascherando la loro attivit\u00e0 tra le azioni IT legittime.<\/p>\n

In altre parole, l\u2019obiettivo principale \u00e8 quello di rendere pi\u00f9 difficile il rilevamento della loro attivit\u00e0 dannosa. Per questo motivo, gli esperti di sicurezza hanno a lungo monitorato l\u2019attivit\u00e0 di eseguibili, script e librerie potenzialmente non sicure, arrivando a mantenere una sorta di registro sotto il progetto LOLBAS su GitHub<\/a>.<\/p>\n

I nostri colleghi del servizio Kaspersky Managed Detection and Response (MDR)<\/a>, che proteggono numerose aziende in una vasta gamma di aree di business, vedono spesso questo approccio negli attacchi reali. Nel Managed Detection and Response Analyst Report<\/a>, esaminano le componenti di sistema pi\u00f9 tipicamente utilizzati per attaccare le aziende moderne. Ecco cosa hanno scoperto.<\/p>\n

L\u2019oro va a PowerShell<\/h2>\n

PowerShell, un motore software e un linguaggio di scripting con un\u2019interfaccia a riga di comando (CLI), \u00e8 il tool legittimo di gran lunga pi\u00f9 comune tra i criminali informatici, nonostante gli sforzi di Microsoft per renderlo pi\u00f9 sicuro e controllabile. Degli incidenti identificati dal nostro servizio MDR, il 3,3% ha coinvolto un tentativo di exploit PowerShell. Inoltre, limitando l\u2019indagine ai soli incidenti critici, sappiamo che PowerShell ha avuto una parte in uno su cinque (il 20,3%, per essere precisi).<\/p>\n

L\u2019argento va a rundll32.exe<\/h2>\n

Al secondo posto abbiamo il processo host rundll32, che viene utilizzato per eseguire il codice dalle librerie a collegamento dinamico (DLL). \u00c8 stato coinvolto nel 2% di tutti gli incidenti e nel 5,1% di quelli critici.<\/p>\n

Il bronzo va a diverse utility<\/h2>\n

Abbiamo trovato cinque tool presenti nell\u20191,9% di tutti gli incidenti:<\/p>\n