Backdoor di Autenticazione Ibrida: Modify Authentication Process: Hybrid Identity (T1556.007)

Per testare la resilienza dell'infrastruttura ibrida, inizia identificando il tipo di sincronizzazione in uso. Su un server con agente PTA, individua il processo target:

Get-Process AzureADConnectAuthenticationAgentService

Il tool AADInternals offre capacità specifiche per questa tecnica. Dopo aver ottenuto privilegi amministrativi sul server PTA, puoi iniettare PTASpy:

Install-AADIntPTASpy

Questa DLL intercetta tutte le richieste di autenticazione, registrando credenziali in chiaro e autorizzando qualsiasi tentativo di login. I log vengono salvati in C:\PTASpy.

Per ambienti AD FS, la modifica richiede accesso al file di configurazione. Localizza prima il servizio:

Get-Service ADFSSRV | Select-Object Name, Status, StartType

Poi identifica la configurazione:

C:\Windows\ADFS\Microsoft.IdentityServer.Servicehost.exe.config

Modifica il file per caricare una DLL personalizzata che generi token di autenticazione arbitrari. Questo bypassa completamente MFA e policy AD FS definite.

Dal lato cloud, con credenziali Global Administrator compromesse, registra un nuovo agente PTA tramite il portale Entra ID. Questo approccio è particolarmente insidioso perché appare come configurazione legittima agli occhi di molti amministratori.

Per testare la persistenza, verifica che le modifiche sopravvivano a riavvii del servizio e aggiornamenti di sicurezza. Documenta ogni passaggio per il report finale, evidenziando come piccole modifiche possano compromettere l'intera infrastruttura di autenticazione ibrida.

La detection di questa tecnica richiede visibilità sia on-premises che cloud. Configura Sysmon per monitorare modifiche ai processi critici con questa regola:

<ProcessCreate onmatch="include">
    <Image condition="contains">AzureADConnectAuthenticationAgentService</Image>
</ProcessCreate>

Monitora eventi di caricamento DLL anomali correlati ai servizi ibridi. L'EventCode 7 di Sysmon cattura image loads - cerca DLL non firmate Microsoft caricate da processi PTA o AD FS.

Nel Security Event Log, traccia modifiche al servizio AD FS (EventCode 4657) e accessi al file di configurazione. Qualsiasi modifica a Microsoft.IdentityServer.Servicehost.exe.config dovrebbe generare un alert immediato.

Lato cloud, i log di Azure Sign-in mostrano registrazioni di nuovi agenti PTA. Crea alert per eventi di tipo "Register PTA Agent" eseguiti da account non autorizzati. Monitora anche modifiche alle Conditional Access Policy che disabilitano MFA per utenti ibridi.

Per ridurre i falsi positivi, mantieni una baseline dei server autorizzati a eseguire agenti PTA. Correla eventi on-premises con anomalie cloud: un nuovo agente PTA registrato seguito da login massivi da IP insoliti indica compromissione attiva.

Implementa detection comportamentale: utenti che si autenticano contemporaneamente da location geografiche impossibili, o account service che improvvisamente accedono a risorse interattive. Questi pattern, combinati con modifiche ai processi di autenticazione, confermano l'uso di questa tecnica.

L'analisi forense di un attacco a identità ibride richiede correlazione tra artefatti on-premises e cloud. Inizia dal server compromesso esaminando il registro di sistema per modifiche ai servizi:

HKLM\SYSTEM\CurrentControlSet\Services\AzureADConnectAuthenticationAgentService

Verifica timestamp di modifica e confrontali con l'ultimo aggiornamento legittimo Microsoft. Il file Microsoft.IdentityServer.Servicehost.exe.config conserva timestamp di ultima modifica nel file system.

Nella directory C:\Windows\Microsoft.NET\assembly\GAC_MSIL cerca DLL non Microsoft con timestamp sospetti. Questi assembly vengono caricati dal processo AD FS e persistono tra i riavvii.

Esamina i log di IIS per AD FS (C:\inetpub\logs\LogFiles) cercando pattern di autenticazione anomali post-compromissione. Token rilasciati con claims elevati o per utenti che non dovrebbero avere accesso federato indicano sfruttamento attivo.

Nel cloud, utilizza il portale Entra ID per esportare l'audit log completo. Filtra per eventi "Add service principal" e "Update application" nel periodo sospetto. Questi eventi mostrano quando sono stati registrati nuovi agenti PTA o modificate configurazioni di federazione.

I Unified Audit Logs di Microsoft 365 (Search-UnifiedAuditLog) rivelano modifiche alle policy di Conditional Access. Cerca disabilitazioni di MFA per utenti specifici o modifiche che escludono controlli per app federate.

Correla timeline on-premises e cloud: tipicamente si osserva compromissione iniziale del server, installazione della backdoor, seguito da autenticazioni anomale che sfruttano la modifica. Documenta ogni artefatto con hash e timestamp per supportare azioni legali.

APT29 rappresenta l'esempio più documentato di sfruttamento sofisticato delle identità ibride. Il gruppo ha dimostrato capacità di modificare configurazioni AD FS per mantenere accesso a lungo termine, una tecnica che richiede profonda conoscenza dell'infrastruttura Microsoft.

L'approccio di APT29 prevede tipicamente l'editing del file Microsoft.IdentityServer.Servicehost.exe.config per caricare DLL malevole nel processo AD FS. Questa modifica consente di generare token SAML validi per qualsiasi User Principal Name, bypassando tutti i controlli di sicurezza.

Il pattern geografico mostra preferenza per target governativi e organizzazioni con presenza globale che utilizzano federazione AD FS. La scelta di questa tecnica indica obiettivi di spionaggio a lungo termine piuttosto che motivazioni finanziarie immediate.

L'overlap con tool come AADInternals suggerisce che capacità precedentemente riservate ad APT statali stanno diventando accessibili a threat actor meno sofisticati. PTASpy, componente di AADInternals, automatizza l'injection nel processo PTA che prima richiedeva sviluppo custom.

I trend indicano evoluzione verso attacchi che sfruttano la complessità delle architetture ibride. Con l'aumento di ambienti multi-cloud federati, prevediamo varianti che targetizzano trust relationship tra AD FS e provider cloud non-Microsoft. La prossima evoluzione probabilmente includerà automazione per identificare e sfruttare misconfigurazioni nelle sincronizzazioni Password Hash.

Tecnica documentata in MITRE ATT&CK T1556.007. Attività di APT29 contro infrastrutture AD FS riportate in advisory CISA. AADInternals toolkit include PTASpy per test autorizzati. Microsoft security guidance per hardening ambienti ibridi disponibile nella documentazione Entra ID.