Cancellazione Tracce di Rete: Clear Network Connection History and Configurations (T1070.007)

La cancellazione delle tracce RDP su Windows richiede precisione chirurgica. Il registro memorizza le connessioni recenti in chiavi specifiche che vanno eliminate selettivamente.

reg delete "HKCU\Software\Microsoft\Terminal Server Client\Default" /f reg delete "HKCU\Software\Microsoft\Terminal Server Client\Servers" /f

I file RDP contengono informazioni preziose per i forensic analyst. La loro rimozione completa il lavoro di pulizia: del /f /q "%USERPROFILE%\Documents\Default.rdp" del /f /q "%USERPROFILE%\AppData\Local\Microsoft\Terminal Server Client\Cache*"

Su Linux, l'attaccante deve gestire molteplici fonti di log. La strategia più efficace combina la cancellazione selettiva con la sovrascrittura:

> /var/log/auth.log > /var/log/secure history -c && rm ~/.bash_history

macOS richiede un approccio diverso per i log unificati. Il sistema di logging centralizzato va manipolato con privilegi elevati: sudo rm -rf /private/var/log/com.apple.UTun* sudo pfctl -F all

La rimozione delle regole firewall create durante l'attacco rappresenta il tocco finale. Su Windows PowerShell offre controllo granulare: Remove-NetFirewallRule -DisplayName "Malicious Rule"

Su Linux iptables permette il flush completo delle regole: iptables -F iptables -X

Il rilevamento comportamentale deve focalizzarsi su pattern anomali piuttosto che su singoli eventi. La cancellazione delle chiavi del registro Terminal Server Client da parte di account non interattivi rappresenta un indicatore ad alta fedeltà.

Sysmon cattura queste modifiche con precisione attraverso l'evento EventID 13 per le modifiche al registro. La configurazione ottimale monitora le path critiche:

• HKCU\Software\Microsoft\Terminal Server Client*
• File matching pattern: *Default.rdp, *.bmc

I log Linux richiedono auditd configurato per catturare syscall specifiche. Il monitoraggio di unlink e truncate su path sensibili genera alert affidabili: -w /var/log/auth.log -p wa -k log_deletion -w /var/log/secure -p wa -k log_deletion

La correlazione temporale riduce drasticamente i falsi positivi. Un comando di pulizia eseguito entro 5 minuti da una connessione remota anomala indica attività malevola con alta probabilità.

Gli alert devono differenziare tra manutenzione legittima e comportamento sospetto. Account di servizio che cancellano log fuori dalle finestre di manutenzione programmata richiedono investigazione immediata. Il context enrichment con informazioni su origine della connessione, orario e account utilizzato trasforma un alert generico in intelligence azionabile.

La ricostruzione della timeline richiede fonti alternative quando i log primari sono stati cancellati. Windows mantiene tracce secondarie nell'Event Log che sopravvivono alla pulizia superficiale.

L'EventID 4778 (Session Reconnected) e 4779 (Session Disconnected) nel Security log persistono anche dopo la cancellazione delle chiavi del registro RDP. Questi eventi contengono timestamp e indirizzi IP origine cruciali per la timeline.

Il Volume Shadow Copy spesso conserva versioni precedenti dei file cancellati. L'analisi delle VSS permette di recuperare:

• Versioni precedenti di Default.rdp con server di destinazione
• Snapshot del registro con chiavi Terminal Server Client intatte

Su Linux, il journal di systemd offre ridondanza preziosa. Anche se /var/log/auth.log viene sovrascritto, journalctl mantiene eventi di autenticazione SSH: journalctl -u sshd --since "2024-01-01"

La memoria del sistema contiene artefatti volatili ma preziosi. Stringhe di connessione, indirizzi IP e timestamp persistono in RAM anche dopo la cancellazione dei log su disco. Tools come Volatility permettono l'estrazione di:

• Connessioni di rete attive al momento del dump
• Comandi eseguiti recentemente dalla shell
• Credenziali in cache per connessioni remote

La correlazione con log di rete perimetrali completa il quadro. Firewall e proxy mantengono record indipendenti delle connessioni che l'attaccante non può raggiungere dall'host compromesso.

Volt Typhoon dimostra sofisticazione operativa nell'ispezione preventiva dei server log per identificare e rimuovere selettivamente solo le proprie tracce IP. Questo gruppo, attivo dal 2021, predilige infrastrutture critiche nel Pacifico con focus su persistenza a lungo termine.

UNC3886 ha evoluto le tecniche durante la campagna RedPenguin, colpendo specificamente router Juniper MX Series. Il gruppo cancella eventi da molteplici fonti di log simultaneamente, indicando conoscenza approfondita dell'architettura Junos OS. La distribuzione di varianti custom di TINYSHELL suggerisce capacità di sviluppo interne.

I pattern geografici mostrano concentrazione nel Sud-Est asiatico per Volt Typhoon, mentre UNC3886 opera globalmente con preferenza per target tecnologici. Entrambi i gruppi condividono l'enfasi sulla cancellazione selettiva piuttosto che totale dei log, minimizzando l'impatto visibile delle operazioni.

L'overlap negli strumenti è minimo: Volt Typhoon utilizza living-off-the-land techniques, mentre UNC3886 sviluppa implant personalizzati. Questa divergenza suggerisce origini e sponsor differenti nonostante obiettivi tattici simili.

La progressione naturale per questi attori include l'automazione della cancellazione log attraverso implant persistenti. L'integrazione di capacità anti-forensi direttamente nel malware, come dimostrato da SUNBURST, rappresenta l'evoluzione logica. I target futuri probabilmente includeranno sistemi di logging centralizzati e SIEM per neutralizzare la visibilità enterprise-wide.

Framework MITRE ATT&CK T1070.007. Campagna RedPenguin (C0056) documentata da Juniper. Analisi comportamentale Volt Typhoon (G1017) e UNC3886 (G1048). Detection analytics AN0133-AN0136 per monitoraggio cross-platform.