Account locali: Local Account (T1087.001)

Replicare questa tecnica in laboratorio richiede l'esecuzione di comandi nativi del sistema operativo. Su Windows, il classico approccio prevede l'utilizzo di net user per listare tutti gli account locali. Eseguendo net localgroup administrators si ottiene invece l'elenco degli amministratori locali, informazione particolarmente preziosa per un attaccante.

Su sistemi Linux e macOS, il comando id fornisce informazioni sull'utente corrente, mentre groups elenca i gruppi di appartenenza. L'accesso diretto al file /etc/passwd su Linux rappresenta un'altra via comune: cat /etc/passwd restituisce l'elenco completo degli utenti del sistema.

Per macOS specificamente, dscl . list /Users enumera tutti gli account locali attraverso il Directory Service. Su ambienti ESXi virtualizzati, il comando esxcli system account list fornisce risultati analoghi per gli hypervisor.

Un approccio più sofisticato combina questi comandi in script automatizzati. Ad esempio, uno script PowerShell potrebbe iterare attraverso gli account trovati, verificandone i privilegi e l'appartenenza ai gruppi. In ambienti Active Directory ibridi, distinguere tra account locali e di dominio diventa cruciale per mappare correttamente il perimetro di attacco.

Durante i red team engagement, mascherare questi comandi all'interno di attività apparentemente legittime riduce la probabilità di detection. Wrappare i comandi in processi di sistema comuni o eseguirli durante finestre di manutenzione programmata sono tecniche comuni di evasione.

La detection efficace richiede un approccio multilivello che bilanci copertura e rumore. Il primo layer di monitoraggio deve tracciare l'esecuzione di comandi specifici attraverso Sysmon su Windows (EventCode=1). Configurare alert per catturare pattern come net user, net localgroup, Get-LocalUser nei log di process creation rappresenta il baseline minimo.

Un approccio più maturo prevede la correlazione temporale: multiple query di enumerazione in rapida successione da parte dello stesso utente indicano comportamento anomalo. Impostare una soglia di 3-5 comandi di discovery entro 60 secondi riduce i falsi positivi mantenendo efficacia.

Per Linux, auditd deve monitorare accessi a /etc/passwd e /etc/group attraverso syscall di tipo open/read. Su macOS, il monitoraggio di Unified Log per esecuzioni di dscl e dscacheutil fornisce visibilità equivalente.

La contextualizzazione è fondamentale: un amministratore di sistema che esegue questi comandi durante troubleshooting è normale, ma lo stesso comportamento da un account di servizio o da un utente standard richiede investigazione immediata. Implementare whitelist basate su ruoli e baseline comportamentali per ogni categoria di utenti.

Per ambienti virtuali ESXi, monitorare vpxd.log per chiamate API di enumerazione utenti e shell.log per comandi diretti. Particolare attenzione va posta a sessioni SSH che eseguono questi comandi, specialmente se originate da IP non autorizzati.

La ricostruzione forense dell'attività di enumerazione richiede l'analisi di molteplici artefatti. Su Windows, il Security Event Log conserva tracce delle query degli account (Event ID 4798 per enumerazione gruppi, 4799 per membership). Questi eventi, correlati temporalmente con i log di esecuzione dei processi, permettono di ricostruire la sequenza esatta delle azioni.

I Prefetch files forniscono timestamp precisi per l'esecuzione di net.exe e altri tool di enumerazione. La presenza di net1.exe nei prefetch indica spesso tentativi di bypass UAC o esecuzione con privilegi elevati.

Su Linux, oltre ai log di auditd, l'analisi della bash history può rivelare comandi non loggati centralmente. Attenzione però: attaccanti sofisticati spesso cancellano o disabilitano la history. In questi casi, l'analisi della memoria volatile attraverso tool come Volatility può recuperare comandi eseguiti recentemente.

Per ESXi, l'analisi dei file in /var/log/shell.log e /var/log/auth.log fornisce una timeline dettagliata. La correlazione con i log di vmkernel.log può rivelare se l'enumerazione è stata seguita da tentativi di accesso a VM specifiche.

Un pattern forense comune vede l'enumerazione degli account precedere di 5-30 minuti tentativi di lateral movement o privilege escalation. Documentare questi intervalli temporali aiuta a distinguere attività di ricognizione mirata da scansioni automatizzate. La presenza di tool come Mimikatz o LaZagne successivamente all'enumerazione conferma spesso l'intento malevolo.

APT1 utilizza sistematicamente net user e net localgroup come parte della loro metodologia di ricognizione iniziale. Il gruppo tende a salvare l'output in file temporanei per analisi offline, un comportamento distintivo utile per l'attribution.

Turla mostra una preferenza per l'enumerazione attraverso WMI e PowerShell, evitando spesso i comandi net.exe troppo monitorati. Il loro tool Epic raccoglie automaticamente informazioni sugli account con l'ultimo accesso, indicando interesse per account dormienti riutilizzabili.

Ke3chang combina l'enumerazione locale con quella di dominio, cercando specificamente gruppi con permessi amministrativi. Pattern distintivo: query mirate a gruppi contenenti keywords come "admin", "backup", "service".

Volt Typhoon, gruppo sponsorizzato dalla Cina, ha mostrato particolare interesse per account di servizio su infrastrutture critiche, utilizzando quser per identificare sessioni attive prima dell'enumerazione completa.

L'evoluzione geografica mostra che gruppi dell'Europa dell'Est tendono a automatizzare pesantemente l'enumerazione, mentre attori asiatici preferiscono approcci manuali più mirati. La sovrapposizione di tool tra gruppi è significativa: PowerSploit viene utilizzato da almeno 5 APT differenti per l'enumerazione, complicando l'attribution basata solo sugli strumenti.

La documentazione primaria proviene dal framework MITRE ATT&CK per la tecnica T1087.001. Riferimenti alle campagne Operation CuckooBees forniscono casi studio recenti. Le best practice di detection derivano dall'analisi di implementazioni real-world documentate nei report di Mandiant APT1 e negli advisory CISA su Volt Typhoon.