Acquisizione Domini: Acquire Infrastructure - Domains (T1583.001)

La simulazione dell'acquisizione domini richiede comprensione sia delle tecniche di registrazione che della configurazione dell'infrastruttura C2. Iniziamo verificando la disponibilità di domini typosquattati utilizzando whois example-company.com o varianti con caratteri omografi come exаmple.com (con 'а' cirillica).

Per generare rapidamente varianti di dominio, Python offre librerie specializzate. Il comando dnstwist example.com genera automaticamente centinaia di permutazioni includendo typosquatting, omografi, e variazioni TLD. Analizzare l'output permette di identificare domini potenzialmente registrabili che potrebbero ingannare utenti distratti.

La registrazione attraverso registrar che offrono privacy WHOIS è essenziale per nascondere l'identità. Servizi come Njalla o registrar che accettano criptovalute forniscono anonimato aggiuntivo. Durante la registrazione, utilizzare whois privacy protection e pagare con metodi non tracciabili aumenta l'OPSEC.

Una volta acquisito il dominio, la configurazione DNS richiede attenzione. Impostare record A puntando a VPS compromessi o servizi cloud legittimi come Cloudflare Workers permette di mascherare l'infrastruttura reale. Il comando dig @8.8.8.8 malicious-domain.com verifica la propagazione DNS globale.

Per simulazioni avanzate in ambiente AWS, la creazione di hosted zones Route53 permette gestione programmatica dei domini. Utilizzando AWS CLI: aws route53 create-hosted-zone --name test-c2.com --caller-reference test-001 seguito da aws route53 change-resource-record-sets per configurare i record necessari.

L'automazione della rotazione dei domini aumenta la resilienza operativa. Script che utilizzano API dei registrar possono registrare nuovi domini quando quelli esistenti vengono bloccati, mantenendo la continuità del C2.

Il monitoraggio dei domini malevoli richiede un approccio multilivello che combina feed di threat intelligence, analisi DNS passiva e detection comportamentale. La prima linea di difesa consiste nel sottoscrivere servizi di monitoraggio domini che allertano quando vengono registrate varianti del proprio brand.

Configurare regole SIEM per identificare query DNS verso domini appena registrati rappresenta un indicatore efficace. Domini con età inferiore a 30 giorni che ricevono volumi significativi di traffico meritano investigazione immediata. La query Splunk index=dns | eval domain_age=now()-domain_registration_date | where domain_age<2592000 AND query_count>100 identifica questi pattern sospetti.

L'analisi dei log DNS dovrebbe focalizzarsi su domini con caratteristiche anomale: lunghezza eccessiva, presenza di numeri casuali, o utilizzo di TLD non comuni. Pattern come [a-z]{20,}.tk o domini contenenti stringhe base64 sono spesso indicatori di infrastruttura malevola generata automaticamente.

Il monitoraggio dei certificati SSL attraverso Certificate Transparency logs permette identificazione precoce di nuovi domini. Servizi come CertStream forniscono feed real-time di nuovi certificati, permettendo detection di domini phishing prima che diventino operativi.

L'integrazione con sandbox automatiche per l'analisi di URL sospetti riduce drasticamente i falsi positivi. Quando un dominio nuovo viene identificato, l'invio automatico a servizi come VirusTotal o sandbox proprietarie permette validazione rapida della minaccia.

Per ridurre il rumore, implementare whitelist dinamiche basate su Alexa Top 1M o domini con categorizzazione business consolidata. Focus particolare su domini che imitano servizi critici come Office 365, sistemi bancari o piattaforme aziendali interne.

La ricostruzione forense dell'utilizzo di domini malevoli inizia dall'analisi dei log DNS storici. File come C:\Windows\System32\dns\dns.log su Windows Server o /var/log/named/ su sistemi Linux contengono query DNS che permettono di identificare il primo contatto con l'infrastruttura avversaria.

L'analisi della cache DNS locale rivela domini visitati recentemente. Su Windows, ipconfig /displaydns mostra la cache corrente, mentre su Linux systemd-resolve --statistics fornisce informazioni dettagliate. Questi artefatti sono volatili ma cruciali per comprendere l'attività recente.

I browser mantengono proprie cache DNS e storici di navigazione. SQLite database come History di Chrome o places.sqlite di Firefox contengono timestamp precisi di visite a domini sospetti. Query SQL mirate possono correlare visite a domini malevoli con download di payload o attività di post-exploitation.

L'analisi del traffico HTTPS attraverso proxy logs spesso rivela pattern di beaconing verso domini C2. Certificati self-signed o con Subject Alternative Names contenenti domini typosquattati sono indicatori forensi preziosi. Il parsing di access.log di Squid o Forefront può identificare sequenze temporali di connessioni.

Per campagne sofisticate come quelle di APT28 o Sandworm Team, la correlazione tra domini registrati e infrastruttura nota richiede pivot su indicatori OSINT. WHOIS storici attraverso servizi come DomainTools possono rivelare pattern di registrazione e collegamenti tra domini apparentemente non correlati.

La timeline reconstruction dovrebbe mappare: prima query DNS al dominio malevolo, download di payload secondari, establishment di canali C2 persistenti, e eventuale movimento laterale correlato. Tools come Plaso possono automatizzare la creazione di super-timeline integrando molteplici fonti di artefatti.

L'analisi dei pattern di acquisizione domini rivela firme distintive dei gruppi APT. APT1 ha storicamente registrato centinaia di domini utilizzando pattern naming consistenti e registrar cinesi specifici, permettendo profilazione predittiva delle loro operazioni future.

Lazarus Group mostra preferenza per domini che imitano entità legittime del settore finanziario o cryptocurrency exchange. I loro domini spesso includono termini come "coin", "crypto", o nomi di banche target. La campagna Operation Dream Job ha utilizzato domini identici a quelli di aziende compromesse per operazioni BEC sofisticate.

Gamaredon Group registra massicci volumi di domini attraverso servizi DNS dinamici come Duck DNS, creando infrastruttura C2 ridondante. La loro preferenza per registrazioni automatizzate e pattern di naming pseudo-casuali permette identificazione attraverso analisi statistica dei nuovi domini.

L'overlap infrastrutturale tra gruppi fornisce intelligence actionable. APT28 e Sandworm Team, entrambi associati al GRU russo, condividono occasionalmente infrastruttura di registrazione domini, suggerendo coordinamento operativo o risorse condivise.

Pattern geografici emergono dall'analisi: gruppi cinesi preferiscono registrar asiatici con privacy protection, mentre attori russi utilizzano bullet-proof hosting in giurisdizioni permissive. FIN7 dimostra sofisticazione superiore utilizzando reseller e servizi di anonimizzazione multipli per oscurare le tracce.

Il monitoraggio di campagne attive come C0026 dove sono stati ri-registrati domini C2 scaduti di ANDROMEDA evidenzia trend emergenti. Questa tecnica di "domain takeover" permette agli attori di ereditare vittime esistenti senza nuovo targeting.

Analisi basata su framework MITRE ATT&CK per la tecnica T1583.001, integrando intelligence da 40 gruppi APT documentati e 15 campagne maggiori. Riferimenti includono operazioni Sandworm Team, APT28 targeting NATO, e campagne Lazarus Operation Dream Job per validazione dei pattern operativi e detection strategies discusse.