Certificati Rubati o Falsificati: Steal or Forge Authentication Certificates (T1649)

Per comprendere questa tecnica, iniziamo con l'enumerazione dei certificati disponibili. Su Windows, puoi listare i certificati nel certificate store locale con: certutil -store my

Questo comando mostra tutti i certificati personali installati. Per esportare un certificato con la sua chiave privata, usa: certutil -exportPFX -p "password123" my CertificateSerialNumber output.pfx

Mimikatz offre capacità avanzate attraverso il suo modulo CRYPTO. Dopo aver ottenuto privilegi elevati, puoi esportare certificati con: crypto::certificates /export

Per attaccare Active Directory Certificate Services, enumera prima i template disponibili: certutil -v -template

Se trovi template vulnerabili con permessi di enrollment eccessivi, puoi richiedere certificati per altri utenti. AADInternals ti permette di lavorare con certificati Azure AD. Installa il modulo PowerShell e usa: New-AADIntDeviceCertificate -DeviceId "device-guid" -PfxFileName "device.pfx"

Su Linux, OpenSSL diventa il tuo strumento principale. Per convertire certificati tra formati: openssl pkcs12 -in certificate.pfx -out certificate.pem -nodes

La creazione di certificati self-signed può essere utile in scenari di test: openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

Ricorda che l'obiettivo non è solo rubare certificati, ma capire come vengono utilizzati nell'infrastruttura target. Analizza sempre gli Extended Key Usage (EKU) e i Subject Alternative Names (SAN) per identificare possibili percorsi di escalation.

La detection di abusi certificati richiede un approccio multi-livello. Nel Security Event Log di Windows, monitora l'EventCode 4886 che indica enrollment certificati. Configura alert per richieste multiple dallo stesso account in finestre temporali ristrette.

Per AD CS, crea una baseline del normale comportamento di enrollment. Alert immediati dovrebbero scattare per: enrollment da account di servizio che normalmente non richiedono certificati, richieste con SAN diversi dall'identità richiedente, enrollment di certificati con EKU pericolosi come "Any Purpose".

Su sistemi Linux, configura auditd per monitorare accessi a /etc/ssl/private e /home//.ssh*. La regola auditd potrebbe essere: -w /etc/ssl/private -p rwxa -k certificate_access

Le chiamate a OpenSSL dovrebbero generare alert quando eseguite da processi non standard. Monitora comandi come openssl pkcs12 che potrebbero indicare esportazione di certificati.

Per ridurre i falsi positivi, implementa una whitelist di processi legittimi che accedono regolarmente ai certificati. Automation tools e backup software spesso generano rumore. Correla sempre gli eventi di accesso certificati con altre anomalie come login da località inusuali o escalation di privilegi.

Azure AD richiede particolare attenzione ai sign-in logs. Cerca pattern di autenticazione certificato da device ID sconosciuti o appena registrati. L'uso di certificati per account privilegiati fuori dagli orari lavorativi dovrebbe triggerare investigazioni immediate.

L'analisi forense di abusi certificati inizia dal Windows Certificate Store. I certificati utente sono salvati in %APPDATA%\Microsoft\SystemCertificates\My\Certificates. Ogni file corrisponde a un certificato installato, con timestamp che indicano quando è stato aggiunto.

Nel Registry, esamina HKEY_CURRENT_USER\Software\Microsoft\SystemCertificates per tracce di certificati rimossi. Le chiavi private crittografate risiedono in %APPDATA%\Microsoft\Crypto\RSA. I timestamp di questi file possono rivelare quando sono state accedute o modificate.

Per AD CS, analizza il database del Certificate Authority. Il comando certutil -view -out "Request.RequestID,Request.RequesterName,Request.SubmittedWhen" estrae informazioni cruciali sulle richieste di certificati.

Su Linux, cerca tracce in /var/log/auth.log per accessi SSH con certificati. I file in ~/.ssh/known_hosts potrebbero contenere fingerprint di certificati utilizzati. Il comando find / -name ".pem" -o -name ".crt" -mtime -7 identifica certificati modificati nell'ultima settimana.

Per ricostruire la timeline, correlate eventi di enrollment certificati con successive autenticazioni anomale. APT29 tipicamente richiede certificati poco dopo aver compromesso un account privilegiato, poi li usa per mantenere accesso persistente.

Gli artefatti di Mimikatz includono tracce nel Event Log quando accede al LSASS. Cercate pattern di esecuzione seguiti immediatamente da attività di rete verso domain controller o server critici.

APT29 rappresenta il principale utilizzatore documentato di questa tecnica. Il gruppo russo ha evoluto le sue capacità da semplice furto di certificati a sfruttamento sistematico di misconfigurazioni AD CS. I loro attacchi mostrano comprensione profonda dell'infrastruttura PKI enterprise.

L'overlap di tool è significativo. Mimikatz rimane lo strumento predominante per l'estrazione di certificati, mentre AADInternals emerge per ambienti cloud-hybrid. Questa convergenza suggerisce che gli attaccanti stanno standardizzando il loro approccio all'abuso di certificati.

Dal punto di vista geografico, l'interesse per certificati AD CS proviene principalmente da attori dell'Europa orientale e Asia. La motivazione varia da spionaggio (APT29) a criminalità finanziaria. I ransomware operator hanno iniziato a incorporare furto di certificati per garantirsi re-entry dopo il pagamento.

I pattern evolutivi mostrano crescente sofisticazione. Dall'iniziale focus su certificati utente, gli attaccanti ora mirano a certificati macchina e template vulnerabili. La prossima frontiera probabilmente includerà attacchi a infrastrutture PKI cloud-native e certificati IoT.

Per anticipare le mosse future, monitorate rilasci di nuovi tool open-source focalizzati su certificati. La comunità offensive security spesso anticipa tecniche che verranno adottate da APT. Prestare attenzione a research su bypass di hardware security modules (HSM) e trusted platform modules (TPM).

Documentazione tecnica basata su MITRE ATT&CK framework per T1649. Riferimenti alle campagne di APT29 e analisi dei tool Mimikatz e AADInternals derivano da incident response documentati e ricerca di sicurezza pubblicata.