Archiviazione tramite Utility: Archive via Utility (T1560.001)

L'obiettivo in un red team engagement è dimostrare al blue team quanto sia semplice impacchettare dati sensibili con strumenti già presenti sulla macchina, senza scaricare nulla. Parti dagli scenari living-off-the-land: se il cliente usa Windows, hai già tutto ciò che serve.

Per creare un archivio cabinet con l'utility nativa makecab, simula la raccolta di file sensibili da una cartella utente:

makecab /D CompressionType=LZX /D CabinetNameTemplate=exfil.cab /D DiskDirectoryTemplate=C:\staging\ C:\Users\target\Documents\budget.xlsx

Questo comando comprime un singolo file. Per archivi multi-file, crea un file direttivo (.ddf) che elenchi i percorsi e passalo a makecab /F directives.ddf. È la stessa tecnica usata da APT41 e MuddyWater in operazioni reali.

Con certutil puoi codificare un file in Base64, utile per esfiltrare dati attraverso canali che accettano solo testo:

certutil -encode C:\staging\exfil.cab C:\staging\exfil.b64

Su Linux, la catena classica prevede tar con compressione e cifratura tramite openssl:

tar czf - /opt/collected/ | openssl enc -aes-256-cbc -pbkdf2 -out /tmp/.backup.tar.gz.enc

Questo produce un archivio cifrato con AES-256 in un'unica pipeline, senza file intermedi — esattamente il pattern osservato in campagne come Cutting Edge.

Per simulare lo scenario più frequente in assoluto — l'uso di 7-Zip con password — scarica la versione command-line 7za.exe (open source) e lancia:

7za.exe a -p"R3dT3am2024!" -mhe=on C:\staging\loot.7z C:\Users\target\Documents*.docx

Il flag -mhe=on cifra anche i nomi dei file nell'archivio, rendendo invisibile il contenuto senza la password. È il pattern impiegato da Volt Typhoon per archiviare il database ntds.dit in volumi protetti.

Su macOS, testa l'utility nativa ditto per creare archivi ZIP:

ditto -c -k --sequesterRsrc /Users/target/Documents /tmp/archive.zip

Per la fase di reporting, documenta quale telemetria ha generato ogni comando: il blue team deve sapere se Sysmon (a pagamento come parte di Sysinternals, ma distribuito gratuitamente) ha catturato la command line, se l'EDR ha intercettato la creazione dell'archivio e se il DLP ha ispezionato il contenuto cifrato. Strumenti come Atomic Red Team (open source) offrono test atomici pre-confezionati per T1560.001, ideali per esecuzioni ripetibili.

Il problema principale con questa tecnica è il rumore: in qualsiasi ambiente enterprise, decine di processi legittimi creano archivi ogni giorno — backup agent, software di deployment, script di manutenzione. La chiave è la correlazione contestuale, non il singolo evento.

Parti dalla detection Windows descritta in AN0831. Le log source fondamentali sono i canali WinEventLog:Security e WinEventLog:Sysmon. L'EventCode 1 di Sysmon (Process Create) cattura la command line completa di processi come rar.exe, 7z.exe, makecab.exe e diantz.exe. Cerca specificamente flag che indicano protezione con password (-p, -hp per WinRAR, -p per 7-Zip) e cifratura degli header (-mhe=on). Un archivio protetto da password creato da un processo figlio di cmd.exe o powershell.exe in una directory di staging come C:\PerfLogs o C:\Users\Public è un indicatore ad alta fedeltà.

Per il cmdlet PowerShell Compress-Archive — usato da APT28 nella campagna Nearest Neighbor — abilita il logging dello Script Block (EventCode 4104) e cerca invocazioni che referenzino directory sensibili o che producano archivi in percorsi temporanei.

La correlazione temporale è determinante. Un alert efficace collega tre eventi in una finestra di 5-10 minuti:

1. Esecuzione di un'utility di archiviazione con flag sospetti
2. Creazione di un file con estensione ad alto rischio (.cab, .7z, .rar, .zip) rilevata tramite Sysmon EventCode 11 (FileCreate)
3. Accesso di rete in uscita dal medesimo host o dal medesimo utente

Su Linux (AN0832), il framework auditd è il punto di raccolta primario. Configura regole sulle syscall execve per i binari tar, gzip, zip, 7z e openssl, e monitora la creazione di file nelle directory /tmp, /var/tmp e /dev/shm. Una regola auditd efficace:

-w /usr/bin/7z -p x -k archive_tool

Per il tuning dei falsi positivi, mantieni una allowlist dei processi business autorizzati a creare archivi — tipicamente agent di backup come Veeam o software di distribuzione. Imposta una soglia dimensionale (FileSizeThresholdMB) per escludere compressioni banali: un archivio da 500 MB in una cartella temporanea merita attenzione, uno da 2 KB probabilmente no. Su macOS (AN0833), il Unified Log cattura invocazioni di zip, ditto e hdiutil: presta attenzione all'entropia dell'archivio prodotto — un valore elevato suggerisce cifratura.

La buona notizia per il forensic analyst è che le utility di archiviazione lasciano tracce ricche e distribuite su più livelli del sistema. La cattiva notizia è che, se l'archivio è protetto da password, il contenuto esfiltrato potrebbe restare sconosciuto per sempre — a meno di non recuperare la password stessa dalla command line registrata.

Su Windows, la ricostruzione parte dai log Sysmon. L'EventCode 1 fornisce la command line completa, il parent process, l'hash dell'eseguibile e il SID dell'utente. Per ogni processo di archiviazione identificato, estrai il timestamp preciso e correlalo con l'EventCode 11 (FileCreate) per individuare il percorso esatto dell'archivio prodotto. Se makecab.exe è stato usato — come nelle operazioni di APT41 durante Operation CuckooBees e di UNC3886 — cerca anche tracce nel file direttivo (.ddf) che potrebbe essere stato scritto su disco prima dell'esecuzione.

Il registro Prefetch di Windows è un alleato prezioso: i file .pf associati a rar.exe, 7z.exe o makecab.exe contengono il conteggio delle esecuzioni, l'ultimo timestamp di run e l'elenco dei file referenziati durante l'ultima esecuzione. Analizzali con PECmd (open source, parte della suite Eric Zimmerman Tools) per estrarre queste informazioni.

La Master File Table ($MFT) registra la creazione e l'eventuale cancellazione degli archivi. Anche se l'attaccante ha eliminato il file .7z o .rar dopo l'esfiltrazione, i record MFT residui e le entry nella $UsnJrnl (il journal delle modifiche NTFS) preservano nome, dimensione e timestamp. Strumenti come MFTECmd (open source) parsano la MFT e la USN Journal per ricostruire la sequenza temporale.

Su Linux, auditd è la fonte primaria: i record SYSCALL ed EXECVE documentano ogni invocazione di tar o gzip con i relativi argomenti. Se l'host usa systemd-journald, i log del journal possono contenere tracce aggiuntive. La timeline del filesystem — costruita con tool come Plaso/log2timeline (open source) — rivela la creazione di archivi in directory temporanee e la successiva rimozione.

Per i casi che coinvolgono TONESHELL e Mustang Panda, cerca archivi RAR protetti da password di esattamente 13 caratteri alfanumerici misti: è una firma comportamentale documentata. Nei casi legati a GALLIUM e BRONZE BUTLER, cerca archivi RAR con password in directory di staging non standard. Sugli endpoint macOS, controlla la Quarantine Events database e i log FSEvents per tracciare la creazione di archivi ZIP o DMG anomali.

Con 37 gruppi documentati, T1560.001 è una delle tecniche più trasversali dell'intero framework. Ma i pattern di utilizzo rivelano differenze operative significative che aiutano nella profilazione.

APT28 (Russia) preferisce gli strumenti nativi dell'OS. Nella campagna APT28 Nearest Neighbor Campaign (C0051, febbraio 2022 – novembre 2024) ha usato il cmdlet PowerShell Compress-Archive, coerente con il suo approccio living-off-the-land. Questo contrasta nettamente con attori che scaricano tool di terze parti, e costituisce un indicatore di attribuzione quando combinato con altre TTP dello stesso cluster. APT28 ha usato anche WinRAR con password in altre operazioni, dimostrando flessibilità tattica adattata all'ambiente della vittima.

Il cluster cinese è il più rappresentato e mostra preferenze distintive. Mustang Panda utilizza RAR e WinRAR con password, orchestrandoli tramite TONESHELL e tool di post-exploitation come RemCom e Impacket. Volt Typhoon ha archiviato il database ntds.dit — il cuore di Active Directory — in volumi 7-Zip multi-parte protetti da password, un pattern indicativo di compromissione identity-focused. APT41 emerge sia nel contesto di Operation CuckooBees (C0012, 2019-2022, targeting manifatturiero e tecnologico) sia nella campagna APT41 DUST (C0040, 2023-2024, settori shipping e media), dove ha compresso dati estratti da database Oracle interni con rar. Nella prima campagna ha combinato makecab e WinRAR.

Il cluster iraniano presenta una preferenza per WinRAR e 7-Zip: APT39, APT33, Fox Kitten e Magic Hound condividono questo toolset. MuddyWater si distingue per l'uso di makecab.exe, un'utility nativa meno comune negli arsenali iraniani, che potrebbe indicare un operatore più sofisticato o un cambio di procedura operativa.

Il panorama ransomware adotta le stesse utility: Wizard Spider (ZIP), INC Ransom (7-Zip e WinRAR), Akira (WinRAR) e Play (WinRAR) archiviano dati rubati prima della doppia estorsione. Questo rende T1560.001 un punto di convergenza tra spionaggio e crimine finanziario — un'informazione critica per la triage: la sola presenza di archiviazione sospetta non discrimina la motivazione dell'attaccante.

Dalla campagna SolarWinds Compromise (C0024, 2019-2021) emerge che anche APT29 comprime email rubate con 7-Zip e password, confermando che gli attori tier-1 russi adottano la stessa tecnica dei gruppi meno sofisticati. Il differenziatore è il contesto operativo — supply chain compromise — non lo strumento in sé.

Framework MITRE ATT&CK v16 — T1560.001 (Archive via Utility), TA0009 (Collection). Campagne: C0012 (Operation CuckooBees), C0051 (APT28 Nearest Neighbor Campaign), C0014 (Operation Wocao), C0007 (FunnyDream), C0026, C0006 (Operation Honeybee), C0029 (Cutting Edge), C0040 (APT41 DUST), C0024 (SolarWinds Compromise), C0022 (Operation Dream Job). Detection: DET0298 (AN0831, AN0832, AN0833). Integrato con conoscenza professionale per tool e procedure operative.