Compressione via Utility: Archive Collected Data (T1560.001)

Per comprendere appieno questa tecnica, è fondamentale replicarla in ambiente controllato. Su Windows, il comando makecab C:\Users\target\Documents*.docx C:\temp\docs.cab crea rapidamente un archivio cabinet contenente tutti i documenti Word dell'utente target. L'utility diantz offre funzionalità più avanzate, permettendo di scaricare e comprimere file remoti in un'unica operazione.

Su sistemi Linux, la catena di comandi diventa più articolata. L'esecuzione di tar -czf /tmp/data.tar.gz /home/user/Documents/ seguito da openssl enc -aes-256-cbc -in /tmp/data.tar.gz -out /tmp/data.enc -k mypassword crea un archivio compresso e cifrato. Questa sequenza replica fedelmente le tattiche osservate in campagne reali.

macOS offre utility native particolarmente versatili. Il comando zip -er archive.zip ~/Documents/ crea un archivio cifrato con password, mentre ditto -c -k --sequesterRsrc ~/Documents /tmp/backup.zip preserva i metadata specifici del sistema operativo, una caratteristica sfruttata da gruppi sofisticati per mantenere l'integrità dei dati esfiltrati.

Per simulazioni avanzate, considera l'utilizzo di PowerShell su Windows: Compress-Archive -Path C:\sensitive* -DestinationPath C:\temp\exfil.zip. Questa tecnica, osservata nelle operazioni di APT28, dimostra come gli attaccanti preferiscano strumenti nativi per minimizzare le tracce forensi.

La detection efficace richiede un approccio multistrato che consideri sia l'esecuzione dei comandi che la creazione degli archivi risultanti. Monitora i processi con EventCode 4688 su Windows, prestando particolare attenzione a makecab.exe, diantz.exe, e certutil.exe eseguiti da processi non standard o con parametri sospetti.

Su Linux, configura auditd per catturare le chiamate execve contenenti tar, gzip, bzip2, o zip. La correlazione temporale è critica: un comando di compressione seguito dalla creazione di file di grandi dimensioni in /tmp o /var/tmp entro 60 secondi rappresenta un pattern ad alto rischio.

Per macOS, sfrutta il subsystem unifiedlog monitorando l'esecuzione di zip, ditto, o hdiutil da parte di processi inusuali. Office applications che invocano utility di archiviazione costituiscono un indicatore particolarmente affidabile di attività malevola.

Implementa detection basate su anomalie volumetriche. Archive superiori a 100MB create in directory temporanee o di staging dovrebbero generare alert immediati. La presenza di estensioni multiple (.tar.gz.enc) indica tentativi di offuscamento che meritano investigazione prioritaria.

Configura il monitoraggio delle librerie di compressione caricate dinamicamente. Processi che caricano libz.so su Linux o libarchive.dylib su macOS al di fuori del loro comportamento baseline spesso precedono operazioni di archiviazione massive.

L'analisi forense di questa tecnica richiede la ricostruzione precisa della sequenza di eventi che ha portato alla creazione degli archivi. Inizia identificando i file di archivio residui attraverso la ricerca di estensioni sospette (.cab, .7z, .rar) in directory non standard.

Esamina i log di processo per identificare l'esatta command line utilizzata. Su Windows, il registro di Security con EventID 4688 fornisce dettagli preziosi sui parametri passati alle utility di compressione. La presenza di percorsi multipli come argomenti indica operazioni di raccolta su larga scala.

Gli artefatti di file system rivelano pattern temporali cruciali. File con timestamp di creazione ravvicinati seguiti da un archivio di grandi dimensioni suggeriscono operazioni di staging automatizzate. Turla è noto per comprimere file da USB connesse in archivi RAR prima dell'esfiltrazione, lasciando tracce caratteristiche nel registro MRU.

Su macOS, analizza gli extended attributes (xattr) degli archivi creati. La presenza dell'attributo com.apple.quarantine su file compressi può indicare download remoti seguiti da archiviazione locale. I log di FSEvents preservano la sequenza completa di operazioni file anche dopo la cancellazione degli archivi.

Cerca evidenze di cifratura post-compressione attraverso l'analisi dell'entropia dei file. Archivi con entropia superiore a 7.9 indicano probabilmente l'uso di encryption, una tattica comune per evadere DLP e ispezione del contenuto durante l'esfiltrazione.

Ke3chang dimostra preferenza per 7-Zip e RAR con password complesse, indicando un focus sulla protezione dei dati durante il transito. Le loro operazioni targeting diplomatici suggeriscono che documenti sensibili vengono compressi in lotti di 50-100MB per facilitare l'esfiltrazione attraverso canali C2 a banda limitata.

APT1 utilizza esclusivamente RAR per la compressione, un pattern consistente attraverso molteplici campagne. Questa standardizzazione suggerisce procedure operative consolidate e training uniforme degli operatori. I loro archivi tipicamente non superano i 500MB, ottimizzati per il trasferimento attraverso hop multipli.

MuddyWater si distingue per l'uso di makecab.exe, sfruttando utility native Windows per minimizzare l'impronta forense. Questa scelta riflette la loro metodologia di "living off the land", particolarmente efficace contro organizzazioni del settore government nel Medio Oriente.

APT28 durante la campagna Nearest Neighbor ha dimostrato l'uso innovativo del cmdlet PowerShell Compress-Archive, indicando un'evoluzione nelle loro tecniche verso approcci più discreti. La compressione avviene tipicamente dopo la raccolta di credenziali e documenti Office.

L'analisi delle campagne recenti mostra una tendenza verso l'uso di utility native rispetto a tool di terze parti, probabilmente in risposta al miglioramento delle capacità di detection EDR. Prevediamo un'ulteriore evoluzione verso tecniche di compressione in-memory e l'uso di algoritmi custom per evadere signature-based detection.

Framework MITRE ATT&CK - T1560.001, documentazione delle campagne Operation Honeybee e FunnyDream, report tecnici su APT28 Nearest Neighbor Campaign, analisi forensi di Turla e MuddyWater, ricerche su detection comportamentale per compression utilities.