Chiavi Private: Unsecured Credentials - Private Keys (T1552.004)

La ricerca di chiavi private inizia sempre dalle directory più comuni. Su sistemi Linux, il comando find ~/.ssh -name ".pem" -o -name ".key" 2>/dev/null rappresenta il punto di partenza. Windows richiede un approccio diverso con dir C:\Users*.ssh /s /b per enumerare rapidamente le chiavi SSH degli utenti.

Mimikatz rimane lo strumento principe per l'estrazione di certificati dal Windows Certificate Store. Il modulo CRYPTO::Extract interagisce direttamente con le API crittografiche Windows per estrarre chiavi anche quando protette. La sequenza operativa prevede privilege::debug, seguito da crypto::certificates /export per esportare tutti i certificati disponibili.

Per simulare tecniche più sofisticate come quelle di Volt Typhoon, occorre accedere al file Local State di Chrome che contiene la chiave AES per decrittare le password salvate. Il percorso tipico è C:\Users[username]\AppData\Local\Google\Chrome\User Data\Local State.

Su dispositivi di rete, i comandi variano per vendor. Cisco IOS utilizza crypto pki export [trustpoint] pem terminal per visualizzare chiavi in formato PEM. La simulazione deve includere anche la ricerca di chiavi Entra ID sui dispositivi registrati, verificando la presenza di transport key nel registro di Windows.

L'automazione con Empire Framework accelera il processo. Il modulo situational_awareness/host/findprivatekeys cerca sistematicamente estensioni sospette, mentre collection/SessionGopher estrae chiavi da Putty, WinSCP e altri client. Per ambienti cloud, AADInternals con Get-AADIntADFSCertificates simula l'estrazione di certificati da server ADFS compromessi.

Il rilevamento efficace richiede visibilità su accessi anomali a directory sensibili. Su Windows, Sysmon con EventCode 11 cattura la creazione di file nelle directory .ssh degli utenti. La configurazione deve includere regole per TargetFilename contenente pattern come \.ssh\ o estensioni chiave.

L'analisi comportamentale diventa cruciale quando processi inusuali accedono a certificati. Un alert efficace monitora EventCode 4663 nel Security log per accessi a C:\ProgramData\Microsoft\Crypto\RSA. I falsi positivi derivano spesso da backup software e vanno filtrati tramite whitelist del ParentProcess.

Su Linux, auditd rappresenta la prima linea di difesa. La regola -w /home//.ssh -p r -k ssh_key_access* genera eventi per ogni lettura nella directory SSH. L'integrazione con SIEM richiede correlazione tra eventi SYSCALL e successive connessioni di rete anomale dallo stesso PID.

Storm-0501 ha dimostrato come il cloud richieda detection specifiche. Il monitoraggio di operazioni Microsoft.Storage/storageAccounts/listkeys/action in Azure Activity Log rivela tentativi di accesso a Storage Account keys. La baseline del comportamento normale degli Owner role riduce drasticamente i falsi allarmi.

Network device richiedono parsing dei syslog per comandi come crypto pki export. La correlazione con eventi AAA di privilege escalation indica possibile compromissione. L'implementazione di regex per catturare export di chiavi SSH o certificati PKI fornisce coverage completa sui dispositivi di rete.

La ricostruzione forense inizia dall'identificazione dei file chiave acceduti. Su Windows, l'analisi del $MFT rivela timestamp di accesso a file .pfx o .pem anche se successivamente eliminati. Il journal NTFS contiene tracce di operazioni su certificate store in C:\ProgramData\Microsoft\Crypto.

Operation Wocao ha lasciato tracce distintive nell'uso di Mimikatz per dump di certificati. L'analisi della memoria con Volatility identifica moduli crypto caricati e stringhe contenenti "CRYPTO::Extract". I prefetch files documentano esecuzioni ripetute di tool di estrazione certificati.

Su sistemi Linux, l'analisi di .bash_history spesso rivela comandi di ricerca o copia di chiavi SSH. I log di auditd forniscono granularità sui processi che hanno acceduto a file sensibili. La timeline deve correlare accessi a ~/.ssh con successive connessioni SSH in uscita documentate in auth.log.

L'investigazione di SolarWinds Compromise ha evidenziato l'importanza di analizzare i container ADFS. I certificati di firma SAML estratti lasciano tracce nei log IIS e negli eventi Windows 4662 per accesso a oggetti AD. La ricostruzione richiede correlazione tra export di certificati e successive autenticazioni SAML anomale.

Per dispositivi mobili o endpoint con Entra ID, il registro contiene chiavi di trasporto in HKLM\SYSTEM\CurrentControlSet\Control\CloudDomainJoin. L'analisi forense deve verificare export non autorizzati correlando con eventi di impersonation del dispositivo nei log di Azure AD.

Rocke rappresenta il caso classico di monetizzazione criminale. Il gruppo utilizza chiavi SSH compromesse per diffondere cryptominer attraverso reti aziendali. La loro preferenza per ambienti cloud e container suggerisce targeting continuo di infrastrutture Kubernetes mal configurate.

TeamTNT evolve costantemente le tecniche di ricerca chiavi. Dai semplici scan di directory .ssh, sono passati a targeting specifico di credenziali cloud e wallet cryptocurrency. Il loro toolkit include ora capacità di estrazione chiavi da memory dump di container Docker.

Scattered Spider dimostra sofisticazione nell'esfiltrazione di certificati code-signing. L'obiettivo finale rimane la firma di malware per bypass di controlli di sicurezza. Le loro campagne recenti mostrano interesse crescente per certificati EV (Extended Validation) di software house.

Volt Typhoon rappresenta la minaccia persistente avanzata per eccellenza. L'accesso a chiavi di crittografia browser indica preparazione per operazioni di lungo termine. Il pattern geografico mostra focus su infrastrutture critiche nel Pacifico, suggerendo preparazione per potenziali conflitti geopolitici.

Storm-0501 evidenzia l'evoluzione verso il cloud. L'uso di ruoli Azure Owner per accedere a Storage Account keys indica comprensione profonda delle architetture cloud moderne. Le loro tecniche suggeriscono obiettivi di esfiltrazione dati su larga scala da ambienti Azure.

Framework MITRE ATT&CK T1552.004 documenta tecniche di ricerca chiavi private osservate in Operation Wocao e SolarWinds Compromise. Detection guidance basata su analisi comportamentale di accesso a directory sensibili e export certificati. Mitigazioni focalizzate su encryption, access control e monitoring continuo per ridurre superficie d'attacco.