C2 via Servizi Web Legittimi: Bidirectional Communication (T1102.002)

Il modo più efficace per testare la detection di questa tecnica è costruire un canale C2 bidirezionale reale su un servizio cloud, in ambiente controllato. L'obiettivo del red teamer non è solo dimostrare la connessione, ma verificare che il SOC rilevi il pattern: un processo non-browser che parla con un servizio cloud, scambia dati in entrambe le direzioni e lo fa con cadenza regolare.

Canale via Google Sheets con Empire. Il framework Empire (open source) supporta nativamente listener basati su Dropbox e GitHub. Per configurare un listener Dropbox in Empire, occorre un token API Dropbox generato da un'app registrata nel portale developer Dropbox. Una volta ottenuto il token, nel client Empire si crea il listener specificando il tipo dbx e il token come parametro. Lo stager risultante comunicherà interamente via API Dropbox, senza mai contattare un server C2 tradizionale.

Canale via Telegram Bot API. Questo approccio replica il modus operandi di Sandworm Team. Si crea un bot Telegram tramite BotFather, si ottiene il token, e si scrive un semplice script Python che interroga l'endpoint getUpdates del bot per ricevere comandi e usa sendMessage per restituire l'output. Il vantaggio in lab è la semplicità: poche righe di codice, nessuna infrastruttura server, traffico TLS verso i server di Telegram.

Canale via GitHub. Per replicare il comportamento di Lazarus Group e di malware come BLACKCOFFEE, si può creare un repository privato su GitHub e usare le API REST per leggere il contenuto di un file (i comandi) e committare l'output in un altro file. Uno script bash minimo può farlo con curl e le API GitHub, autenticandosi con un Personal Access Token.

Per la fase di test su macOS, vale la pena verificare che il SOC rilevi osascript o python3 che generano traffico HTTPS verso piattaforme social o cloud. Un semplice curl verso l'API di Pastebin con upload di dati può simulare il flusso di esfiltrazione via servizio legittimo.

In ogni scenario, la metrica da validare è: il SOC ha rilevato un processo non-browser che comunica bidirezionalmente con un cloud service? Se la risposta è no, c'è un gap di visibilità critico.

La sfida principale di questa tecnica è che bloccare il traffico verso Google, Dropbox o OneDrive è raramente praticabile. La detection deve quindi essere comportamentale, focalizzata su chi parla con questi servizi e come lo fa, non sul fatto che la connessione esista.

Log source fondamentali. Su Windows, Sysmon (open source) con EventCode 3 (Network Connection) è la base: permette di correlare il processo sorgente con la destinazione. Aggiungere il provider ETW Microsoft-Windows-WinINet cattura i dettagli delle richieste HTTP/HTTPS a livello applicativo. Su Linux, auditd con regole sulle syscall connect e sendto fornisce la stessa visibilità. Su macOS, lo Unified Log raccoglie le connessioni originate da interpreti di scripting.

La logica di detection ruota su tre pilastri convergenti:

Il primo è l'anomalia di processo. Un processo come powershell.exe, python.exe, cmd.exe o rundll32.exe che inizia connessioni HTTPS verso domini cloud (pattern *.googleapis.com, *.dropbox.com, *.onedrive.live.com, api.telegram.org) è intrinsecamente più sospetto di un browser. La whitelist dei processi legittimi (client OneDrive, Google Drive Sync, aggiornamenti software) è il tuning critico: il parametro ProcessNameExclusionList nella detection rule va popolato con i binari verificati dell'ambiente.

Il secondo pilastro è la direzionalità del traffico. Un canale C2 bidirezionale ha un rapporto upload/download anomalo rispetto alla navigazione web standard. Il parametro PayloadSizeThreshold deve essere calibrato: sessioni con upload superiore a una soglia definita (ad esempio 50 KB per connessione verso API cloud) da processi non-browser meritano un alert a media severità.

Il terzo è la periodicità. Malware come RIFLESPINE, OilBooster o ComRAT eseguono beacon a intervalli regolari. Un'analisi della frequenza delle connessioni verso uno stesso endpoint cloud, aggregata per processo, rivela pattern periodici che il traffico umano non produce. Strumenti come Rita (open source) per l'analisi dei beacon su log di rete Zeek (open source) possono automatizzare questa correlazione.

Per la prevenzione, la mitigazione M1021 si traduce operativamente nel deploy di un web proxy con SSL inspection che ispeziona il traffico verso le API cloud, e nel blocco delle API non necessarie al business tramite policy di rete. La mitigazione M1031 suggerisce signature IDS/IPS su pattern noti di C2 via web service, ad esempio Suricata (open source) con regole ET Pro che rilevano traffico API anomalo verso piattaforme cloud.

L'analisi forense di un C2 via servizi web legittimi richiede di ricostruire sia il canale di comunicazione sia i dati scambiati. La buona notizia è che, anche se il traffico è cifrato, gli artefatti endpoint raccontano la storia completa.

Artefatti Windows. La prima fonte è il registro Sysmon, in particolare EventCode 3 per le connessioni di rete e EventCode 1 per la creazione dei processi responsabili. Correlare il PID del processo che ha generato la connessione con la sua command line rivela immediatamente se si tratta di un binario legittimo o di un loader. Per malware come PowerStallion, che mappa OneDrive come drive di rete con net use, i log di connessione SMB e le chiavi di registro sotto HKCU\Network conservano la configurazione del mapping anche dopo la disconnessione.

Il file %LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat (il database ESE di Internet Explorer/Edge) può contenere tracce di URL verso API cloud anche quando il traffico è stato generato programmaticamente tramite WinINet. Lo strumento ESEDatabaseView (gratuito) di NirSoft permette di esplorare questo database. Analogamente, i cookie e la cache di sessione HTTPS possono rivelare i domini contattati.

Per malware che usano le API Microsoft Graph (come ODAgent, OilBooster, OilCheck e SampleCheck5000), le autenticazioni OAuth lasciano token nel file system o nella memoria del processo. Un dump della memoria del processo sospetto con Volatility 3 (open source) può rivelare access token, refresh token e gli endpoint API specifici usati.

Artefatti Linux. Su sistemi dove gira auditd, le syscall connect e sendto registrate con la chiave appropriata forniscono timestamp, PID e indirizzo di destinazione. I file di log di journalctl per i servizi systemd sospetti possono rivelare script Python o bash configurati come servizi persistenti — un pattern usato ad esempio da Sandworm Team con il suo backdoor Python via Telegram Bot API.

Timeline della campagna Operation Ghost. In questa campagna, APT29 ha utilizzato piattaforme social media per nascondere le comunicazioni C2. Il malware CloudDuke sfruttava un account OneDrive per scambiare comandi e dati con gli operatori, mentre RegDuke usava Dropbox come server C2. L'analista forense deve cercare artefatti correlati a entrambe le famiglie: file temporanei con naming convention anomalo nelle directory di sync cloud, e processi che accedono a queste directory senza essere i client ufficiali del servizio.

La ricostruzione della timeline si basa sulla sequenza: creazione processo sospetto → prima connessione verso API cloud → pattern di beacon regolare → eventuali picchi di upload (esfiltrazione). Questa sequenza, sovrapposta ai log di autenticazione e agli artefatti di persistenza, permette di determinare l'intera durata della compromissione.

Questa tecnica è un raro punto di convergenza trasversale: gruppi di matrice geopolitica completamente diversa la adottano con variazioni minime. Analizzare i pattern di scelta del servizio web rivela preferenze operative che hanno valore predittivo.

Kimsuky (G0094), gruppo nordcoreano, predilige piattaforme a bassa moderazione come Blogspot e GitHub per il C2, con Dropbox come canale secondario per il download di payload e l'upload di informazioni sul sistema vittima. La scelta di Blogspot suggerisce operazioni che puntano su target con filtering DNS minimo, tipicamente enti di ricerca e think tank.

APT37 (G0067), anch'esso nordcoreano, mostra il portfolio più diversificato di servizi abusati: AOL, Twitter, Yandex, Mediafire, pCloud, Dropbox e Box. Questa ridondanza indica una dottrina operativa che prevede canali C2 di backup multipli, probabilmente per garantire la continuità del controllo anche quando un servizio viene bloccato. Il malware ROKRAT, associato al gruppo, implementa nativamente questa filosofia multi-piattaforma. Lo stesso vale per DOGCALL, che supporta Cloud, Box, Dropbox e Yandex.

Turla (G0010) e Carbanak (G0008) condividono un pattern interessante: entrambi abusano dei servizi Google in modo sofisticato. Turla ha usato un JavaScript backdoor basato su Google Apps Script, mentre Carbanak ha sviluppato "ggldr", un VBScript che sfrutta Google Apps Script, Sheets e Forms come infrastruttura C2 completa. Questa convergenza su Google Apps Script suggerisce che la piattaforma offre caratteristiche particolarmente attraenti — esecuzione serverless, API flessibili, logging minimo lato attaccante.

Il cluster iraniano è rappresentato da Magic Hound (G0059), APT39 (G0087), MuddyWater (G0069) e HEXANE (G1001). Magic Hound si distingue per l'uso di SOAP Web services, un approccio più strutturato. APT39, HEXANE e MuddyWater convergono su servizi cloud commerciali (Dropbox, OneDrive, OneHub), suggerendo un toolkit condiviso o quantomeno una dottrina operativa comune all'interno dell'ecosistema cyber iraniano.

Sandworm Team (G0034), gruppo russo legato al GRU, ha usato la Telegram Bot API — una scelta che riflette la familiarità dell'ecosistema russo con la piattaforma. L'uso di richieste di aggiornamento del software M.E.Doc come canale C2 dimostra un livello di sofisticazione superiore: il traffico C2 era indistinguibile dalle operazioni legittime del software.

La campagna Operation Ghost (C0023, 2013-2019) di APT29 rappresenta il caso di studio più completo: una campagna durata sei anni contro ministeri degli esteri europei e un'ambasciata a Washington, dove il C2 via social media si integrava con steganografia e infrastruttura dedicata per ciascuna vittima. L'uso di CloudDuke e RegDuke — rispettivamente OneDrive e Dropbox — dimostra che APT29 mantiene famiglie malware separate per servizi cloud diversi, massimizzando la resilienza operativa.

Il trend emergente è la migrazione verso le API Microsoft Graph (OneDrive, Outlook) come canale C2, evidenziata da malware come ODAgent, OilBooster, OilCheck e SampleCheck5000 — tutti sfruttano account controllati dall'attaccante su servizi Microsoft 365 per scambiare comandi e dati attraverso draft di email o file su OneDrive.

Framework MITRE ATT&CK: tecnica T1102.002, tattica TA0011, campagna C0023 (Operation Ghost), mitigazioni M1021 e M1031. Detection basata su Sysmon, auditd, Unified Log macOS. Integrato con conoscenza professionale per tool e procedure operative.