Pulizia delle Tracce di Rete: Clear Network Connection History and Configurations (T1070.007)

L'obiettivo in un esercizio red team è dimostrare che la cronologia delle connessioni può essere eliminata senza generare alert, evidenziando i gap di logging del cliente. La superficie è triplice: registro Windows, file system e log di sistema su Linux/macOS.

Windows — Pulizia della cronologia RDP

Il primo target sono le chiavi di registro del Terminal Server Client. In un laboratorio, dopo aver stabilito una connessione RDP verso un host di test, puoi rimuovere le evidenze con:

reg delete "HKCU\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKCU\Software\Microsoft\Terminal Server Client\Servers" /f

Il flag /va elimina tutti i valori sotto la chiave, mentre /f sopprime la conferma interattiva. Per completare la pulizia, elimina anche il file di configurazione predefinito e la cache bitmap:

del /f /q "%USERPROFILE%\Documents\Default.rdp"

rmdir /s /q "%LOCALAPPDATA%\Microsoft\Terminal Server Client\Cache"

Un red teamer più sofisticato vorrà anche rimuovere le regole firewall create per il pivoting. SUNBURST, ad esempio, eliminava le proprie regole firewall al termine dell'esecuzione. Puoi replicare questo comportamento con:

netsh advfirewall firewall delete rule name="TestRule"

Linux — Cancellazione dei log SSH e delle regole iptables

Su host Linux il focus si sposta sui log di autenticazione e sulla bash history legata alle sessioni SSH:

> /var/log/auth.log

rm -f ~/.bash_history && history -c

Per simulare la pulizia delle regole firewall temporanee, il classico flush di iptables è immediato:

iptables -F && iptables -X

macOS — Unified Log e configurazioni di rete

Su macOS le tracce di Remote Login finiscono nell'Unified Logging. Per simulare la rimozione della configurazione di rete e dei log associati:

sudo pfctl -F all

Questo comando resetta tutte le regole del packet filter. Per la cancellazione dei log specifici, cerca file come quelli relativi a com.apple.UTun all'interno di /Library/Logs.

Network device — Junos OS

La campagna RedPenguin (C0056) ha mostrato come UNC3886 cancellasse i log direttamente su router Juniper. In ambiente lab con accesso a un dispositivo Junos, il comando clear log seguito dal nome del file di log specifico replica il comportamento osservato. Per esercitazioni su Cisco IOS, i comandi equivalenti sono:

clear logging

Tool consigliati per orchestrare queste azioni in modo automatizzato: Metasploit Framework (open source) per i moduli post-exploitation di pulizia, e Cobalt Strike (a pagamento) per simulare la rimozione delle regole firewall all'interno di un beacon script.

La detection di questa tecnica si basa su un principio semplice: nessun utente legittimo cancella le chiavi del Terminal Server Client o svuota auth.log durante l'operatività normale. Il problema è trasformare questo principio in regole che non generino rumore.

Windows — Registry e file system

La fonte primaria è Sysmon (open source), in particolare EventCode 12 (creazione/cancellazione chiave di registro) e EventCode 13 (modifica valore di registro). Configura una regola che filtri le operazioni di delete su percorsi contenenti Terminal Server Client\Default e Terminal Server Client\Servers. Parallelamente, EventCode 23 (FileDelete) di Sysmon cattura la rimozione di Default.rdp e dei file nella directory Cache del Terminal Server Client.

Sul fronte dei log Security nativi, abilita l'auditing del registro tramite:

auditpol /set /subcategory:"Registry" /success:enable /failure:enable

Questo genererà eventi EventCode 4657 quando le chiavi monitorate vengono modificate o eliminate. Per le regole firewall, EventCode 4948 del Windows Firewall log segnala la rimozione di una regola — esattamente il pattern utilizzato da SUNBURST.

Il tuning è cruciale: correla gli eventi di cancellazione con la prossimità temporale a connessioni RDP (EventCode 4624, Logon Type 10). Una cancellazione di chiavi RDP entro 5 minuti dalla disconnessione di una sessione remota è altamente sospetta. Filtra inoltre per contesto utente: operazioni di pulizia eseguite da account SYSTEM o non interattivi meritano priorità immediata.

Linux — auditd come fondamenta

Qui il pilastro è auditd (open source). Crea regole che monitorino le syscall unlink e truncate sui file critici:

-w /var/log/auth.log -p wa -k netconn_cleanup

-w /etc/ssh/sshd_config -p wa -k ssh_config_tamper

Per il flush delle regole iptables, monitora le invocazioni del binario con una regola sulla syscall execve filtrata per il percorso di iptables. Pattern come iptables -F eseguiti fuori dalle finestre di manutenzione sono indicatori ad alta fedeltà.

macOS — Unified Log e pfctl

Utilizza osquery (open source) per monitorare la rimozione di file in /Library/Logs il cui nome contiene com.apple.UTun o RemoteManagement. Correla con sessioni SSH o Screen Sharing recenti: una cancellazione che segue immediatamente un login remoto alza significativamente il livello di confidenza dell'alert.

Network device — Syslog centralizzato

Per router e switch, la detection dipende interamente dal forwarding dei log verso un SIEM prima che l'attaccante possa cancellarli localmente. Monitora comandi come clear logging, no logging buffered e write erase nei log syslog. Differenzia per tipo di dispositivo: un clear logging su un router di backbone ha un peso diverso rispetto a uno switch di accesso. Splunk (freemium) e Graylog (open source) sono piattaforme adatte a questa correlazione.

L'analisi forense di questa tecnica richiede un approccio in negativo: cerchi ciò che manca, non ciò che c'è. L'assenza stessa di artefatti diventa l'evidenza chiave.

Windows — Registro e file system

Inizia dalle chiavi di registro del Terminal Server Client. Anche se l'avversario ha eliminato i valori sotto HKCU\Software\Microsoft\Terminal Server Client\Servers, i timestamp dell'ultima modifica della chiave padre vengono aggiornati al momento della cancellazione. Usa RegRipper (open source) per estrarre i timestamp LastWriteTime dai file NTUSER.DAT:

rip.pl -r NTUSER.DAT -p rdphint

Se la chiave Servers ha un LastWriteTime recente ma è vuota, hai l'evidenza della cancellazione. Confronta questo timestamp con i log di Event Viewer (EventCode 4624 Logon Type 10) provenienti dal SIEM centralizzato: se il log remoto mostra sessioni RDP ma il registro locale è pulito, la pulizia è confermata.

Per il file Default.rdp, verifica il journal NTFS ($UsnJrnl) con tool come MFTECmd (open source, parte della suite Eric Zimmerman Tools). Una voce di tipo FILE_DELETE con il nome Default.rdp nella timeline USN fornisce il timestamp esatto dell'eliminazione. Analogamente, la directory Terminal Server Client\Cache potrebbe contenere file .bmc residui recuperabili tramite carving — BMCViewer (gratuito) può decodificare le bitmap delle sessioni RDP dai frammenti rimasti.

Linux — Artefatti auditd e file system

Su sistemi Linux con auditd attivo, cerca nei log audit le syscall unlink e openat con flag O_TRUNC indirizzate a /var/log/auth.log. Il record SYSCALL include il PID e il percorso dell'eseguibile invocante, permettendo di risalire alla shell o al processo responsabile.

Se auth.log è stato troncato, verifica la dimensione attuale rispetto alla rotazione attesa. Un file auth.log di pochi byte, creato in una data intermedia rispetto al ciclo di logrotate, è un indicatore forte. Recupera le porzioni precedenti da auth.log.1 o dai file compressi in /var/log/ che logrotate non ha ancora ruotato.

Per la bash_history, esamina il file .bash_history di ogni utente cercando discontinuità: se il file esiste ma è vuoto o ha un timestamp di modifica che non corrisponde all'ultimo login, è stato manipolato. Verifica con stat il campo mtime e confrontalo con i record utmp/wtmp.

Network device — La sfida dei router

La campagna RedPenguin (C0056) illustra la difficoltà principale: UNC3886 eliminava i log direttamente sui dispositivi Junos OS. In questo scenario, la forensic si sposta necessariamente sui log centralizzati. Verifica il syslog server per gap temporali nei flussi provenienti dai router coinvolti: un'interruzione improvvisa del flusso di log seguita dalla ripresa è l'impronta digitale della cancellazione. Correla con i netflow o i dati NSM (Network Security Monitoring) per identificare le connessioni che l'avversario tentava di nascondere.

La ricostruzione della timeline deve procedere a ritroso: parti dall'evidenza di pulizia (chiave vuota, log troncato, gap nel syslog) e cerca nei log centralizzati le connessioni di rete che precedono l'evento di cancellazione. Quelle connessioni sono gli IP e le sessioni che l'avversario voleva nascondere.

Due gruppi APT e un malware di alto profilo compongono il quadro di threat actor che sfruttano attivamente questa tecnica, con un pattern comune: la cancellazione delle tracce è sempre l'atto finale di operazioni prolungate e stealth-oriented.

UNC3886 (G1048) è il gruppo che più sistematicamente impiega la pulizia delle tracce di rete. La loro firma operativa prevede la rimozione chirurgica di eventi contenenti il proprio indirizzo IP da molteplici sorgenti di log — non una cancellazione massiva, ma una selezione mirata che preserva il resto dei log per non destare sospetti. Nella campagna RedPenguin (C0056), condotta tra luglio 2024 e marzo 2025 e investigata da Juniper, UNC3886 ha dimostrato una capacità particolarmente avanzata: l'uso di impianti personalizzati basati sulla backdoor pubblica TINYSHELL per cancellare i log direttamente sui router Juniper MX Series con Junos OS. Questo sposta il perimetro della minaccia dagli endpoint tradizionali ai dispositivi di rete — un'evoluzione significativa che richiede capacità di detection su infrastrutture tipicamente considerate "fuori scope" dal monitoraggio SOC standard.

Volt Typhoon (G1017) condivide l'approccio selettivo: il gruppo ispeziona i log dei server compromessi per identificare e rimuovere specificamente le entry contenenti i propri IP. Questa disciplina operativa — la capacità di operare chirurgicamente sui log anziché cancellarli in blocco — è la firma di attori state-sponsored con obiettivi di persistenza a lungo termine. Volt Typhoon è noto per il focus sulle infrastrutture critiche e la preferenza per il "living off the land", un approccio che rende la pulizia selettiva dei log ancora più efficace perché i tool utilizzati sono gli stessi dell'amministrazione legittima.

SUNBURST (S0559), il malware al centro della compromissione della supply chain SolarWinds, adottava un approccio complementare: anziché cancellare log, rimuoveva le regole firewall che aveva creato durante l'esecuzione. Questo pattern — creare una regola per aprire un canale C2, operare, poi eliminare la regola — è particolarmente insidioso perché non lascia artefatti persistenti nella configurazione del firewall.

Il pattern emergente è chiaro: gli attori più sofisticati non si limitano a cancellare i log sugli endpoint, ma estendono la pulizia ai dispositivi di rete (router, switch, VPN appliance). Il TI officer deve monitorare l'evoluzione di questa tendenza verificando se le infrastrutture di rete dell'organizzazione dispongono di log forwarding immutabile. La convergenza tra UNC3886 sui router Juniper e le tecniche di Volt Typhoon sui server suggerisce che il prossimo fronte sarà la pulizia delle tracce su appliance cloud e dispositivi IoT industriali, dove il logging è spesso minimale per design.

Framework MITRE ATT&CK v16 — Tecnica T1070.007, Campagna C0056 (RedPenguin), Gruppi G1048, G1017, Software S0559. Mitigazioni M1029, M1024. Detection: Sysmon, auditd, osquery, correlazione SIEM. Integrato con conoscenza professionale per tool e procedure operative.