Comunicazione tramite USB: Communication Through Removable Media (T1092)

Per simulare questa tecnica in laboratorio, inizia configurando due macchine virtuali: una connessa a Internet (Victim1) e una isolata (Victim2). Su Victim1, crea uno script che monitori l'inserimento di USB:

wmic logicaldisk where drivetype=2 get deviceid, volumename

Questo comando Windows identifica i dispositivi removibili. Per automatizzare il processo, utilizza PowerShell per scrivere payload sul dispositivo quando viene rilevato:

$watcher = New-Object System.IO.FileSystemWatcher
$watcher.Path = "E:\"
$watcher.EnableRaisingEvents = $true
Register-ObjectEvent $watcher "Created" -Action {
    Copy-Item "C:\temp\commands.txt" "E:\task.txt"
}

Su Linux, il monitoraggio avviene attraverso udev. Crea una regola in /etc/udev/rules.d/99-usb-c2.rules:

ACTION=="add", KERNEL=="sd[a-z][0-9]", RUN+="/usr/local/bin/usb_handler.sh"

Lo script handler potrebbe contenere:

#!/bin/bash
mount_point=$(findmnt -n -o TARGET /dev/$DEVNAME)
if [ -n "$mount_point" ]; then
    cp /tmp/beacon.log "$mount_point/"
fi

CHOPSTICK utilizza un approccio modulare dove ogni modulo si copia automaticamente sul dispositivo removibile. Puoi replicare questo comportamento creando un eseguibile che si auto-propaga:

gcc -o propagator propagator.c -static

Il codice deve includere logica per rilevare nuovi mount point e copiarsi automaticamente. USBStealer invece deposita comandi specifici per la seconda vittima, che vengono eseguiti all'inserimento del dispositivo attraverso autorun o script di avvio personalizzati.

Per testare la comunicazione bidirezionale, implementa un sistema dove Victim2 scrive risposte in un file specifico che Victim1 legge periodicamente quando l'USB viene reinserita.

La detection DET0090 richiede correlazione cross-host tra eventi di scrittura e lettura su dispositivi removibili. Su Windows, configura Sysmon per catturare eventi dettagliati di file creation con questa regola:

<FileCreate onmatch="include">
    <TargetFilename condition="begin with">E:\</TargetFilename>
    <TargetFilename condition="begin with">F:\</TargetFilename>
</FileCreate>

Monitora EventCode 11 di Sysmon per file creation e correla con EventCode 1 per process creation dallo stesso path. L'anomalia chiave è quando un file viene scritto su USB da Host A e letto/eseguito su Host B entro 10 minuti.

Su Linux, abilita auditd per tracciare accessi a mount point USB: auditctl -w /media/ -p rwxa -k usb_access auditctl -w /run/media/ -p rwxa -k usb_access

Il pattern sospetto emerge quando lo stesso filename appare in syscall di write su un host e read/execve su un altro. Cerca sequenze dove il pathname contiene /media/usb* o /run/media/ seguito da esecuzione di binari non firmati.

Per macOS, utilizza il log unificato per correlare eventi di disk arbitration con fsusage. Volume con nomi generici come "NO NAME" o "SECUREDATA" meritano attenzione particolare quando acceduti da processi come bash o Python interpreters.

L'alert efficace deve considerare il contesto aziendale: in ambienti dove l'uso di USB è limitato, qualsiasi pattern write-read cross-host è anomalo. In ambienti permissivi, focalizzati su file con estensioni eseguibili o pattern di naming sospetti come task.txt, beacon.log, data.bin.

L'analisi forense di questa tecnica richiede correlazione temporale tra sistemi diversi. Su Windows, esamina il registro di sistema per tracce di mount USB: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Ogni dispositivo lascia impronte uniche con serial number, vendor ID e timestamp di primo/ultimo utilizzo. Incrocia questi dati con il registro MountedDevices per identificare le lettere di unità assegnate.

Il file C:\Windows\inf\setupapi.dev.log contiene dettagli preziosi sull'installazione di dispositivi USB, inclusi timestamp precisi. Cerca linee contenenti "USB\VID_" per ricostruire quando specifici dispositivi sono stati collegati.

APT28 tipicamente usa dispositivi USB con capacità ridotte (2-8GB) per minimizzare sospetti. Nei casi documentati di CHOPSTICK, gli artefatti mostrano pattern di file creation in directory temporanee prima della copia su USB. Esamina:

• Prefetch files per esecuzioni da percorsi removibili
• ShellBags per navigazione in directory USB
• Jump Lists per documenti aperti da dispositivi removibili

Su Linux, /var/log/kern.log registra eventi di mount/unmount con timestamp precisi. Correla con /var/log/auth.log per identificare quale utente aveva accesso al sistema durante l'inserimento USB.

La timeline reconstruction deve evidenziare:

1. Primo inserimento USB su sistema compromesso
2. Creazione/modifica file sul dispositivo
3. Rimozione e inserimento su secondo sistema
4. Esecuzione o lettura dei file trasferiti
5. Eventuale ritorno del dispositivo al primo sistema

USBStealer lascia tracce caratteristiche: cerca file con timestamp di modifica che non corrispondono a normale attività utente, specialmente se creati da processi di sistema o servizi.

APT28 (Sofacy, Fancy Bear) rimane l'unico gruppo con uso documentato di questa tecnica, suggerendo capacità operative sofisticate e targeting di infrastrutture critiche air-gapped. Il gruppo, attribuito al GRU russo, ha dimostrato interesse persistente per:

• Infrastrutture energetiche est-europee
• Sistemi SCADA isolati
• Reti militari segmentate
• Impianti industriali con separazione fisica delle reti

Il toolkit di APT28 per ambienti air-gapped include CHOPSTICK con architettura modulare che permette aggiornamenti tramite USB. Ogni modulo può contenere funzionalità specifiche: keylogging, screenshot capture, network mapping. L'evoluzione suggerisce investimento continuo in capacità offline.

USBStealer rappresenta evoluzione tattica: invece di semplice propagazione, implementa comunicazione asincrona strutturata. Il malware deposita "task files" con comandi specifici per il sistema target, suggerendo intelligence preliminare sull'ambiente.

Pattern geografici mostrano focus su:

• Europa orientale: 60% delle operazioni documentate
• Medio Oriente: 25% con focus su infrastrutture petrolifere
• NATO members: 15% targeting sistemi classificati

L'overlap con altre tecniche APT28 include:

• T1091 (Replication Through Removable Media) per infezione iniziale
• T1027 (Obfuscated Files) per evasione
• T1055 (Process Injection) per persistence

Prevedi evoluzione verso:

• USB devices con storage nascosto o partizioni multiple
• Sfruttamento di USB-C per attacchi più sofisticati
• Integrazione con hardware modificato (BadUSB variants)
• Targeting aumentato di OT/ICS environments post-conflitto

Framework MITRE ATT&CK documenta T1092 con focus su APT28 e relativi malware CHOPSTICK/USBStealer. Detection guidance DET0090 fornisce indicatori comportamentali cross-platform per SOC implementation. Mitigazioni M1028/M1042 offrono controlli preventivi scalabili.