LOTL (Living Off The Land)

Quando l’attaccante usa le tue stesse armi contro di te

LOTL (Living Off The Land) è una tecnica d’attacco che si distingue per un elemento disturbante: non viola le regole. Oggi, le minacce si muovono nell’ombra, sfruttando ciò che già esiste dentro i sistemi aziendali. È il principio dietro una delle tecniche più subdole e difficili da rilevare: LOTL – Living Off The Land.

Cos’è LOTL: la tecnica che inganna le difese

LOTL è una strategia di attacco che si distingue per la sua apparente legittimità. Gli attori malevoli non installano malware o componenti esterni — non lasciano, cioè, tracce evidenti — ma utilizzano strumenti già presenti nel sistema operativo per eseguire attività malevole: comandi PowerShell, WMI, rundll32, certutil e altri tool nativi diventano armi silenziose per movimentazioni laterali, raccolta credenziali o esfiltrazione di dati.

L’origine del termine è militare: living off the land significa sopravvivere usando solo ciò che si trova in loco. In ambito cyber, significa attaccare restando invisibili — un approccio che sfrutta il mimetismo digitale per confondersi tra i processi legittimi.

Perché LOTL è ancora così efficace

La forza di LOTL sta nella sua capacità di apparire “normale”. Le difese tradizionali — antivirus, SIEM basati su firme o firewall statici — non vedono nulla di anomalo, poiché l’attacco avviene tramite strumenti legittimi.

Un comando PowerShell eseguito da un amministratore può sembrare identico a quello di un attaccante.
Un processo WMI attivo potrebbe essere una semplice manutenzione… oppure l’inizio di un’esfiltrazione di dati.

In contesti ibridi, dove convivono sistemi IT, OT e IoT, il problema si amplifica. Dispositivi legacy, architetture non segmentate e mancanza di visibilità creano uno scenario ideale.

L’impatto su ambienti IT, OT e IoT

La tecnica LOTL è particolarmente insidiosa nei contesti OT e IoT, dove:

Gli apparati non supportano agent o aggiornamenti di sicurezza.
I protocolli proprietari rendono difficile il monitoraggio.
Le architetture non sono segmentate o isolate correttamente.

In questi ambienti, un attaccante può:

“Muoversi lateralmente” usando connessioni autorizzate.
Sfruttare dispositivi non protetti per compromettere l’infrastruttura IT.
Disattivare o alterare i processi fisici (PLC, SCADA) senza mai usare malware.

Come difendersi: l’approccio comportamentale

Contro LOTL, non basta sapere “cosa” è stato eseguito, bisogna capire “come” e “perché”.

Le best practice includono:

Analisi comportamentale continua: individuare pattern anomali nell’uso di strumenti legittimi.
Segmentazione e Zero Trust: eliminare gli accessi impliciti, anche per tool amministrativi.
Visibilità end-to-end su ecosistemi IT e OT: analisi del traffico, dei processi e dei flussi dati.
Reazioni automatiche basate sul contesto: contenimento immediato, anche in assenza di intervento umano.

Agger: la risposta comportamentale

Integra detection comportamentale avanzata grazie a motori AI e Machine Learning
Monitora anche i sistemi legacy e i dispositivi agentless
Rileva l’uso anomalo di strumenti come PowerShell e WMI
Applica reaction automatizzate in zero secondi
Garantisce resilienza operativa, anche in ambienti OT dove non si può intervenire manualmente

Con Agger, un attacco LOTL può essere identificato prima ancora che produca effetti visibili, bloccato in automatico e correlato a eventi precedenti per fornire piena tracciabilità.

Agger non si limita a osservare: reagisce, impara e protegge, anche in ambienti completamente isolati o con sistemi industriali obsoleti.

Ricordiamo: LOTL non è solo una tecnica sofisticata, ma una vera minaccia per tutte le aziende che basano la propria sicurezza su strumenti tradizionali.

Non basta più proteggere. Serve resilienza.
Non serve vedere il pericolo. Serve capirlo in tempo.

Agger rappresenta la nuova generazione di difesa cyber: integrata, autonoma, adattiva.
Una risposta concreta alle minacce invisibili, pensata per ambienti complessi, ibridi e critici.