Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

As technology progresses, cybercrime does too, and all the many devices used by industries, people, and national infrastructures become easier targets. Experts try to keep the pace with the attackers by creating new and stronger protections, however, this is not always enough. As a matter of fact, modern malware developers are able to circumvent these barriers thanks to newly found techniques. Living off the Land attacks are one of them and, indeed, they are becoming increasingly popular among the attackers’ communities. Among the many techniques used in this kind of cyber assault, Living of the Land Binaries (LoLBins) are one of the most dangerous. These kinds of attacks exploit Windows binaries that are already present on target machines and that are often intrinsically trusted by most anti-viruses. An Italian Fast-Moving Consumer Goods (FMCG) company has decided to start a project focused on the prevention of this kind of attacks through the creation of a dedicated and personalized infrastructure. The work proposed in this thesis is part of the latter and is centered around the development of the rules necessary for the detection of some of the LoLBins found in the wild. The choice of said binaries is based on a hypothetical attack that exploits different tools, belonging to this family, along different stages of the MITRE kill-chain. In order to study the attack surface the technique tactics and procedures, or Tactics techniques and Procedures (TTP), hunting methodology has been applied. The latter discerns the solution proposed from the ones already present on the market since it does not rely only on Indicex of Compromise (IoC)s, like hashes, or statistical analysis but it looks at all the possible features linked to the LoLBins attacks and create rules accordingly. Moreover, they have been tested inside virtual environments that mimic the machines used daily by the company thanks to tools like Red-Atomic that allow the simulation of the attacks explained above.

Con l’avanzare della tecnologia, anche il crimine informatico si evolve e tutti i numerosi dispositivi utilizzati dalle industrie, dalle persone e dalle infrastrutture nazionali diventano bersagli sempre più facili da colpire. Gli esperti cercano di tenere il passo con gli attaccanti creando nuove e resistenti protezioni, ma ciò non è sempre sufficiente. Gli odierni sviluppatori di malware, infatti, sono in grado di aggirare queste barriere grazie a tecniche innovative. Gli attacchi Living off the Land sono una di queste e la loro popolarità accresce all’interno delle comunità di attaccanti. Esistono molte categorie all’interno di questa famiglia e quella dei LoLBins è una delle più pericolose. Questo tipo di attacchi sfrutta i file binari Windows che sono già presenti sulle macchine bersaglio e che sono considerati sicuri dalla maggior parte degli antivirus odierni. Un’azienda italiana leader nel campo manifatturiero ha deciso di avviare un progetto incentrato sulla prevenzione di questo tipo di attacchi attraverso la creazione di un’infrastruttura dedicata e personalizzata. Il lavoro proposto in questa tesi fa parte di quest’ultima ed è incentrato sullo sviluppo delle regole necessarie per il rilevamento di alcuni dei LoLBin trovati in natura. La scelta di tali binari si basa un’ipotesi di attacco che sfrutta nelle diverse fasi della killchain MITRE vari tool di questa famiglia di software. Per studiare la superficie di attacco è stata applicata la metodologia di analisi delle tecniche tattiche e procedure, o TTP. Quest’ultima distingue la soluzione proposta da quelle già presenti sul mercato poiché non si basa solo su IoC, come gli hash, o sull’analisi statistica ma offre la possibilità di esaminare tutte le possibili caratteristiche legate agli attacchi LoLBins e di creare regole ad hoc contro di queste. Inoltre, suddette regole sono state testate all’interno di ambienti virtuali che imitano le macchine utilizzate quotidianamente dall’azienda grazie a strumenti come Red-Atomic, che consentono la corretta simulazione degli attacchi sopracitati.

Threat hunting : detection of LoLBin attacks in a large distributed enterprise infrastructure

COLOMBRINO, FULVIO
2022/2023

Abstract

As technology progresses, cybercrime does too, and all the many devices used by industries, people, and national infrastructures become easier targets. Experts try to keep the pace with the attackers by creating new and stronger protections, however, this is not always enough. As a matter of fact, modern malware developers are able to circumvent these barriers thanks to newly found techniques. Living off the Land attacks are one of them and, indeed, they are becoming increasingly popular among the attackers’ communities. Among the many techniques used in this kind of cyber assault, Living of the Land Binaries (LoLBins) are one of the most dangerous. These kinds of attacks exploit Windows binaries that are already present on target machines and that are often intrinsically trusted by most anti-viruses. An Italian Fast-Moving Consumer Goods (FMCG) company has decided to start a project focused on the prevention of this kind of attacks through the creation of a dedicated and personalized infrastructure. The work proposed in this thesis is part of the latter and is centered around the development of the rules necessary for the detection of some of the LoLBins found in the wild. The choice of said binaries is based on a hypothetical attack that exploits different tools, belonging to this family, along different stages of the MITRE kill-chain. In order to study the attack surface the technique tactics and procedures, or Tactics techniques and Procedures (TTP), hunting methodology has been applied. The latter discerns the solution proposed from the ones already present on the market since it does not rely only on Indicex of Compromise (IoC)s, like hashes, or statistical analysis but it looks at all the possible features linked to the LoLBins attacks and create rules accordingly. Moreover, they have been tested inside virtual environments that mimic the machines used daily by the company thanks to tools like Red-Atomic that allow the simulation of the attacks explained above.
ZANERO, STEFANO
ING - Scuola di Ingegneria Industriale e dell'Informazione
4-mag-2023
2022/2023
Con l’avanzare della tecnologia, anche il crimine informatico si evolve e tutti i numerosi dispositivi utilizzati dalle industrie, dalle persone e dalle infrastrutture nazionali diventano bersagli sempre più facili da colpire. Gli esperti cercano di tenere il passo con gli attaccanti creando nuove e resistenti protezioni, ma ciò non è sempre sufficiente. Gli odierni sviluppatori di malware, infatti, sono in grado di aggirare queste barriere grazie a tecniche innovative. Gli attacchi Living off the Land sono una di queste e la loro popolarità accresce all’interno delle comunità di attaccanti. Esistono molte categorie all’interno di questa famiglia e quella dei LoLBins è una delle più pericolose. Questo tipo di attacchi sfrutta i file binari Windows che sono già presenti sulle macchine bersaglio e che sono considerati sicuri dalla maggior parte degli antivirus odierni. Un’azienda italiana leader nel campo manifatturiero ha deciso di avviare un progetto incentrato sulla prevenzione di questo tipo di attacchi attraverso la creazione di un’infrastruttura dedicata e personalizzata. Il lavoro proposto in questa tesi fa parte di quest’ultima ed è incentrato sullo sviluppo delle regole necessarie per il rilevamento di alcuni dei LoLBin trovati in natura. La scelta di tali binari si basa un’ipotesi di attacco che sfrutta nelle diverse fasi della killchain MITRE vari tool di questa famiglia di software. Per studiare la superficie di attacco è stata applicata la metodologia di analisi delle tecniche tattiche e procedure, o TTP. Quest’ultima distingue la soluzione proposta da quelle già presenti sul mercato poiché non si basa solo su IoC, come gli hash, o sull’analisi statistica ma offre la possibilità di esaminare tutte le possibili caratteristiche legate agli attacchi LoLBins e di creare regole ad hoc contro di queste. Inoltre, suddette regole sono state testate all’interno di ambienti virtuali che imitano le macchine utilizzate quotidianamente dall’azienda grazie a strumenti come Red-Atomic, che consentono la corretta simulazione degli attacchi sopracitati.
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
Threat Hunting, detection of LoLbin attacks in a large distributed enterprise infrastructure - Colombrino Fulvio - 10794933.pdf

accessibile in internet per tutti

Dimensione 15.25 MB
Formato Adobe PDF
Visualizza/Apri
15.25 MB Adobe PDF Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/204806