C2 via Supporti Rimovibili: Communication Through Removable Media (T1092)

L'obiettivo in un red team engagement è dimostrare che un air gap non è una barriera assoluta. Per simulare il relay C2 via USB servono due macchine di laboratorio — una "connected" e una "isolated" — e un dispositivo USB reale o emulato.

La catena si articola in tre fasi: impianto del payload sul supporto, esecuzione sull'host isolato e ritorno dei risultati.

Fase 1 — Preparazione del payload sull'host connesso. Scrivi un file di tasking sulla chiavetta. In ambiente Windows basta uno script PowerShell che deposita comandi in un file di testo sulla radice del drive rimovibile:

Set-Content -Path "E:\task.txt" -Value "whoami; ipconfig /all; systeminfo"

Su Linux il concetto è identico, con un semplice redirect:

echo "id; ip a; uname -a" > /media/usb0/task.txt

Fase 2 — Esecuzione sull'host air-gapped. Sull'host isolato, simula un agente che legge il file di tasking, esegue i comandi e scrive i risultati. Un one-liner PowerShell efficace per il lab:

$cmds = Get-Content "E:\task.txt"; $out = foreach ($c in $cmds.Split(';')) { Invoke-Expression $c }; Set-Content -Path "E:\result.bin" -Value $out

Su Linux con bash:

while IFS= read -r cmd; do eval "$cmd" >> /media/usb0/result.bin 2>&1; done < /media/usb0/task.txt

Fase 3 — Esfiltrazione. Il drive viene reinserito nell'host connesso, dove un secondo script legge result.bin e lo invia all'infrastruttura C2 dell'attaccante.

Per un approccio più strutturato, Rubber Ducky di Hak5 (a pagamento) permette di emulare un HID che inietta keystroke e automatizza l'intera catena. In alternativa, il framework USaBuse (open source) fornisce payload pronti per scenari di USB drop e relay.

Se vuoi simulare specificamente il comportamento di USBStealer (S0136), il pattern chiave è: scrivere un file di comando con un naming scheme fisso, verificarne la presenza al mount successivo e processarlo. L'agente non deve mai comunicare via rete — tutta la logica C2 passa dal filesystem del dispositivo rimovibile.

Un test fondamentale da includere nel report è cronometrare il round-trip: quanti minuti passano tra il deposito del task e la raccolta del risultato. Questo dato aiuta il Blue Team a calibrare le finestre di detection.

Il C2 via USB non genera traffico di rete, il che lo rende invisibile ai tradizionali strumenti di network monitoring. La detection deve quindi spostarsi interamente sull'endpoint, correlando eventi di mount del dispositivo con operazioni I/O sospette sui file.

Log source critici. Su Windows, il canale primario è Sysmon. L'EventCode 11 (FileCreate) cattura la creazione di file su volumi rimovibili, mentre l'EventCode 1 (ProcessCreate) rivela eventuali esecuzioni avviate dal drive. Il log di sistema Windows (EventCode 2003 e EventCode 2010 nel canale Microsoft-Windows-DriverFrameworks-UserMode) segnala il mount di dispositivi USB. Su Linux, auditd è essenziale: configura regole sui path di mount tipici (/media/, /run/media/) per intercettare le syscall openat, write e execve. Su macOS, il Unified Log espone gli eventi di disk arbitration che segnalano il mount di nuovi volumi.

La detection comportamentale più efficace è la correlazione cross-host descritta nelle analitiche di riferimento. Il pattern da cercare è: file scritto su un volume rimovibile da un host A, seguito dalla lettura o esecuzione dello stesso file su un host B, entro una finestra temporale ristretta (configurabile, tipicamente 10-15 minuti). Questo richiede un SIEM capace di correlare eventi da endpoint diversi — Splunk (a pagamento), Elastic Security (freemium) o Microsoft Sentinel (a pagamento) sono le piattaforme più adatte.

Per il tuning, tre variabili sono determinanti:

• RemovableDriveLetter / MountPathPattern: definisci le lettere drive o i path di mount attesi nel tuo ambiente per ridurre il rumore
• WriteToReadTimeWindow: una finestra troppo ampia genera falsi positivi; inizia con 10 minuti e allarga se necessario
• FileNamePattern: monitora naming scheme sospetti come task.txt, beacon.log, data.bin o estensioni inusuali per file su USB

Come controllo preventivo, la mitigazione più diretta è disabilitare l'autorun sui dispositivi rimovibili tramite GPO (Computer Configuration → Administrative Templates → Windows Components → AutoPlay Policies → Turn off AutoPlay). Valuta anche la restrizione completa dei dispositivi USB tramite policy di device installation, laddove il workflow operativo lo consenta. Su Linux, USBGuard (open source) permette di definire whitelist di dispositivi autorizzati basate su VendorID e ProductID.

L'analisi forense di un relay C2 via USB richiede la ricostruzione fisica della catena di custodia del dispositivo e la correlazione temporale degli eventi su almeno due host distinti. La sfida è che il canale C2 non lascia artefatti di rete — tutto è nel filesystem e nei log locali.

Artefatti Windows. Il registro di sistema è il punto di partenza. La chiave HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR contiene l'elenco dei dispositivi USB collegati, con VendorID, ProductID e serial number. Incrociando con i file setupapi.dev.log (in C:\Windows\INF\) si ottiene il timestamp del primo collegamento del dispositivo. I file C:\Windows\System32\winevt\Logs\Microsoft-Windows-DriverFrameworks-UserMode%4Operational.evtx documentano ogni mount e unmount.

Per ricostruire le operazioni sui file, le USN Journal ($UsnJrnl) del volume rimovibile — se disponibili — e del disco di sistema forniscono una cronologia delle creazioni, modifiche e cancellazioni. Cerca file con pattern di naming coerenti con tasking/risultati (nomi generici, estensioni .txt, .bin, .log). I Prefetch di Windows (C:\Windows\Prefetch\) possono rivelare l'esecuzione di binari dal percorso del drive rimovibile.

Artefatti Linux. Il journal di systemd registra gli eventi di mount tramite udisks2. Il log di auditd, se configurato con regole sui path /media/ e /run/media/, fornisce le syscall con timestamp, PID e path completo dei file acceduti. I file .bash_history possono contenere tracce di comandi eseguiti manualmente in relazione al dispositivo.

Artefatti macOS. Il database di disk arbitration nel Unified Log traccia il mount di volumi esterni con UUID e label. Lo strumento fsusage consente, in fase di acquisizione live, di monitorare le operazioni I/O in tempo reale su un volume specifico.

Costruzione della timeline. L'elemento chiave è sovrapporre le timeline dei due host cercando simmetrie temporali: un file compare sul dispositivo (timestamp di scrittura su host A) e viene letto/eseguito poco dopo (timestamp su host B). Se il dispositivo è stato sequestrato, il filesystem del drive stesso è la Rosetta Stone dell'indagine — file residui, file cancellati recuperabili e metadati NTFS/FAT forniscono la cronologia completa del relay. Strumenti come Autopsy (open source) e FTK Imager (gratuito) permettono l'analisi forense dell'immagine del dispositivo USB, mentre plaso/log2timeline (open source) è ideale per fondere le timeline dei due endpoint in un'unica sequenza ordinata.

Il panorama degli attori che impiegano C2 via supporti rimovibili è estremamente ristretto, il che rende questa tecnica un indicatore ad alta specificità. L'unico gruppo attribuito nei dati è APT28 (G0007), noto anche come Fancy Bear, operante nell'orbita dell'intelligence militare russa.

APT28 — Il profilo operativo. L'impiego di questa tecnica da parte di APT28 si inserisce in un contesto ben preciso: l'accesso a reti air-gapped di alto valore, tipicamente infrastrutture governative e militari. Il gruppo utilizza CHOPSTICK (S0023), un framework modulare il cui componente dedicato è in grado di copiarsi su dispositivi USB, trasportare file di tasking verso la macchina isolata e raccogliere i risultati per il viaggio di ritorno. In parallelo, USBStealer (S0136) opera con una logica più lineare: deposita comandi su un drive rimovibile inserito nella prima vittima, comandi che vengono poi eseguiti automaticamente quando il drive raggiunge la seconda vittima.

Pattern geografico e settoriale. L'uso di relay USB da parte di APT28 è coerente con il targeting di ambienti dove l'air gap è la norma: ministeri della difesa, agenzie di intelligence, organizzazioni diplomatiche nell'Europa orientale e nei paesi NATO. La tecnica presuppone un accesso fisico o quasi-fisico — un insider inconsapevole che trasporta la chiavetta — il che ne limita l'applicazione a operazioni ad alto investimento e lunga preparazione.

Tool overlap e implicazioni. CHOPSTICK è un framework multi-funzione che APT28 utilizza anche per operazioni via rete. La componente USB è un modulo aggiuntivo attivato solo quando il target lo richiede. Questo suggerisce un modello operativo a due velocità: accesso iniziale via rete tradizionale sull'host connesso, poi pivot via USB verso il segmento isolato. Un analista che individua CHOPSTICK su un endpoint di rete dovrebbe immediatamente verificare se esistono host air-gapped nel perimetro che potrebbero essere target secondari.

Indicatori predittivi. Se la vostra organizzazione gestisce reti air-gapped e rientra nel targeting noto di APT28 (settore difesa, governo, energia in area NATO/Europa dell'Est), la probabilità di esposizione a questa tecnica è significativamente superiore alla media. L'assenza di campagne formalmente catalogate non implica inattività — il C2 via USB è progettato per eludere la visibilità e molte operazioni potrebbero non essere mai state pubblicamente attribuite.

Framework MITRE ATT&CK v16 — T1092, TA0011, G0007, S0023, S0136, M1042, M1028. Detection: DET0090 (AN0247, AN0248, AN0249). Integrato con conoscenza professionale per tool e procedure operative.