Account Preimpostati: Default Accounts (T1078.001)

Il test più immediato coinvolge l'attivazione di account disabilitati. Su Windows, il gruppo Magic Hound ha dimostrato l'efficacia di questo approccio:

powershell.exe /c net user DefaultAccount /active:yes

Questo comando riattiva l'account DefaultAccount, spesso dimenticato dopo l'installazione. Una volta attivo, puoi utilizzarlo per connessioni RDP verso altri sistemi nella rete.

Per ambienti virtualizzati, concentrati sull'account vpxuser. Quando un server ESXi si connette a vCenter, questo account privilegiato viene creato automaticamente. Se comprometti le credenziali vCenter, avrai accesso diretto all'host ESXi sottostante.

ssh root@esxi-host.local

Il tool HyperStack dimostra un approccio alternativo sfruttando credenziali predefinite per connettersi a share IPC$. Puoi replicarlo con:

net use \target\IPC$ /user:Administrator password123

Per sistemi industriali, cerca password hardcoded come dimostrato da Stuxnet con i database WinCC. Tool come Hydra possono automatizzare il processo:

hydra -l admin -P default_passwords.txt ssh://192.168.1.1

Non dimenticare dispositivi di rete e telecamere IP. Ember Bear ha sfruttato credenziali predefinite su telecamere esposte. Shodan può aiutarti a identificare questi dispositivi, mentre script personalizzati testano combinazioni comuni come admin/admin o root/toor.

La detection efficace richiede un approccio multipiattaforma. Su Windows, monitora l'EventID 4624 nel Security log per login di account come Administrator o Guest:

EventCode=4624 AND (TargetUserName="Administrator" OR TargetUserName="Guest")

Configura alert per attivazione di account normalmente disabilitati. L'evento 4722 segnala quando un account viene abilitato, particolarmente critico per DefaultAccount.

Su Linux, analizza i log di auditd per login SSH dell'utente root, specialmente se avvengono tramite password invece di chiavi:

type=USER_LOGIN AND exe="/usr/sbin/sshd" AND acct="root"

Per ambienti cloud, CloudTrail su AWS deve tracciare l'uso dell'account root. Crea alert per qualsiasi AssumeRoleSessionName contenente "root" o per chiamate API da account di servizio predefiniti.

In ambienti ESXi, monitora auth.log per accessi vpxuser da IP diversi dal vCenter autorizzato. La campagna HomeLand Justice ha dimostrato come questi account vengano utilizzati per movimento laterale via RDP e Impacket.

Per ridurre i falsi positivi, implementa whitelist basate su orari di manutenzione e range IP autorizzati. Gli accessi da jump box possono essere esclusi, ma solo dopo verifica dell'identità del sistema sorgente.

Integra detection comportamentale: un account che non ha mai effettuato login remoti che improvvisamente si connette via RDP dovrebbe generare un alert ad alta priorità.

L'analisi forense di account preimpostati compromessi richiede attenzione ai dettagli temporali. La campagna HomeLand Justice offre un case study illuminante: gli attaccanti hanno mantenuto l'accesso per oltre un anno prima di agire.

Su Windows, esamina Security.evtx per eventi 4624 (logon) e 4634 (logoff) dell'account Administrator built-in (SID S-1-5-21-domain-500). Correla questi eventi con 4672 (privilegi speciali assegnati) per identificare escalation.

wevtutil qe Security "/q:[System[(EventID=4624)] and EventData[Data[@Name='TargetUserSid']='S-1-5-21--500']]"

Per sistemi compromessi tramite vpxuser, analizza /var/log/vmware/vpxd/vpxd.log su vCenter e /var/log/auth.log su ESXi. Cerca pattern di autenticazione anomali e comandi eseguiti.

La persistenza spesso lascia tracce in:

• Registry keys per auto-logon (HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
• Scheduled tasks create con account di sistema
• Servizi configurati per eseguire come LocalSystem

Per ricostruire movimenti laterali, esamina i log RDP in Microsoft-Windows-TerminalServices-LocalSessionManager/Operational. FIN13 ha dimostrato come credenziali predefinite su interfacce web possano fornire il primo foothold.

Documenta timestamp di:

• Prima autenticazione con account predefinito
• Creazione di nuovi utenti o modifiche a gruppi
• Installazione di tool come Impacket o PsExec
• Ultima attività nota prima della remediation

Magic Hound (APT35) rappresenta il caso più sofisticato di abuso sistematico di account predefiniti. Il gruppo iraniano combina questa tecnica con PowerShell per movimento laterale, targetizzando specificamente Exchange Server via RDP.

Ember Bear, attribuito alla Federazione Russa, adotta un approccio opportunistico sfruttando dispositivi IoT mal configurati. Il gruppo cerca telecamere IP con credenziali di fabbrica per stabilire punti d'accesso iniziali nelle reti target.

FIN13 dimostra motivazioni finanziarie chiare. Il gruppo monetizza l'accesso ottenuto tramite interfacce web management QLogic e myWebMethods, vendendo l'accesso o installando ransomware.

UNC3886 rappresenta l'evoluzione più pericolosa: il gruppo cinese non si limita a credenziali predefinite ma le combina con zero-day per compromettere infrastrutture virtualizzate. Il focus su account di servizio vCenter indica targeting di infrastrutture critiche.

I pattern geografici mostrano specializzazioni regionali. Gruppi iraniani prediligono persistenza a lungo termine per operazioni di influenza. Attori russi cercano accessi rapidi per operazioni disruptive. Gruppi cinesi targetizzano proprietà intellettuale attraverso infrastrutture virtualizzate.

L'overlap negli strumenti include Impacket per movimento laterale e framework PowerShell per execution. La convergenza verso account di virtualizzazione suggerisce che i prossimi target saranno container orchestrator come Kubernetes con i loro service account predefiniti.

Framework MITRE ATT&CK documenta questa tecnica con esempi da campagne reali come HomeLand Justice. Risorse di detection includono Sigma rules per SIEM e configurazioni Splunk per correlation. Microsoft Defender for Identity offre detection native per abuso di account predefiniti Windows.