Configuration Dump: Network Device Configuration Dump (T1602.002)

Durante un penetration test autorizzato, replicare questa tecnica permette di valutare l'esposizione delle configurazioni di rete. Il primo passo consiste nell'identificare i dispositivi target attraverso una scansione SNMP:

snmpwalk -v2c -c public 192.168.1.1 system

Se SNMP v1/v2c è abilitato con community string deboli, potrai enumerare informazioni di sistema. Per dispositivi Cisco, l'OID specifico per recuperare la running configuration è:

snmpget -v2c -c private 192.168.1.1 1.3.6.1.4.1.9.9.43.1.1.1.0

Smart Install rappresenta un'altra via d'accesso. Puoi verificare la presenza del servizio con:

nmap -p 4786 --script smart-install-info 192.168.1.0/24

Una volta identificato un director SMI vulnerabile, tools come SIET permettono di estrarre configurazioni:

python siet.py -i 192.168.1.1 -m 2

Per simulare scenari più realistici, considera l'utilizzo di credenziali compromesse. SSH o Telnet potrebbero essere già accessibili:

ssh admin@192.168.1.1 show running-config

Il comando precedente espone l'intera configurazione attiva. Su dispositivi Juniper, l'equivalente sarebbe show configuration.

L'automazione dell'estrazione aumenta l'efficacia dell'attacco. Script Python con librerie come Netmiko permettono di collegarsi a multiple piattaforme:

from netmiko import ConnectHandler

device = {
    'device_type': 'cisco_ios',
    'ip': '192.168.1.1',
    'username': 'admin',
    'password': 'password'
}

connection = ConnectHandler(**device)
output = connection.send_command('show running-config')

Per ambienti con SNMPv3, la sintassi diventa più complessa ma offre accesso autenticato:

snmpget -v3 -u admin -l authPriv -a SHA -A authpass123 -x AES -X privpass123 192.168.1.1 1.3.6.1.2.1.1.1.0

La detection di questa attività richiede visibilità su molteplici fonti di log. I dispositivi di rete generano syslog quando vengono eseguiti comandi privilegiati. Una regola Sigma potrebbe monitorare:

detection:
  selection:
    EventID: 
      - '%SEC-6-IPACCESSLOGP'
      - '%SYS-5-CONFIG_I'
    CommandLine|contains:
      - 'show running-config'
      - 'show startup-config'
      - 'copy running-config'

Il monitoraggio del traffico SNMP risulta cruciale. Analizza i flow per identificare picchi anomali di richieste verso la porta 161/UDP. Un threshold di 100 richieste SNMP in 5 minuti da un singolo IP potrebbe indicare enumeration.

Smart Install utilizza la porta TCP/4786. La semplice presenza di traffico verso questa porta da IP non autorizzati dovrebbe generare un alert immediato.

Per ridurre i falsi positivi, mantieni una whitelist degli IP amministrativi autorizzati. Le richieste di configurazione provenienti da subnet non trusted rappresentano indicatori ad alta confidenza.

L'analisi comportamentale può rivelare pattern sospetti. Un amministratore che scarica configurazioni da 20 dispositivi in 10 minuti probabilmente sta operando in modo anomalo. Correlazioni temporali aiutano: accessi fuori dall'orario di manutenzione programmata meritano investigazione.

I transfer di file rappresentano l'ultimo anello della catena. TFTP (porta 69/UDP) viene spesso utilizzato per esfiltrare configurazioni. Monitor per pattern come:

• Trasferimenti TFTP verso IP esterni
• Nome file contenenti "config", "running", "startup"
• Dimensioni file compatibili con configurazioni (tipicamente 10-500 KB)

L'analisi forense di un configuration dump inizia dai log dei dispositivi di rete. Cisco IOS registra ogni comando eseguito nel buffer locale:

show logging | include CMD

Questo comando rivela la sequenza temporale dei comandi privilegiati. Cerca timestamp associati a "show running-config" o "copy running-config tftp".

Gli accounting log AAA forniscono contesto aggiuntivo sull'identità dell'attaccante. TACACS+ e RADIUS registrano username, IP sorgente e timestamp di ogni sessione amministrativa.

Sul filesystem del dispositivo, verifica la presenza di file di configurazione esportati:

dir flash: dir nvram:

File con nomi anomali o timestamp recenti potrebbero essere stati creati durante l'esfiltrazione.

L'analisi del traffico di rete catturato rivela il metodo di trasferimento utilizzato. Wireshark permette di ricostruire sessioni TFTP complete:

tftp.opcode == 1

Questo filtro mostra tutte le Read Request TFTP. Il payload conterrà il nome del file richiesto.

Per SNMP, analizza le GetRequest e GetBulkRequest verso OID sensibili. La community string utilizzata fornisce indizi sulle credenziali compromesse.

La correlazione temporale tra eventi diversi costruisce la narrativa completa. Un pattern tipico mostra:

1. Scansione iniziale delle porte SNMP/SMI
2. Autenticazione riuscita o bypass
3. Esecuzione di comandi di dump configurazione
4. Trasferimento file verso IP esterno
5. Pulizia delle tracce (clear logging, delete flash:)

Salt Typhoon rappresenta l'unico gruppo APT con utilizzo documentato di questa tecnica. Questo attore focalizza le proprie operazioni sul furto di credenziali attraverso l'estrazione di configurazioni di rete.

Il profilo operativo suggerisce un interesse specifico per infrastrutture di telecomunicazioni e service provider. Le configurazioni di router e switch contengono spesso credenziali in chiaro o hash facilmente reversibili, rendendo questa tecnica particolarmente efficace per movimenti laterali.

L'analisi delle campagne mostra come l'estrazione delle configurazioni rappresenti raramente l'obiettivo finale. Piuttosto, costituisce un passaggio intermedio per:

• Mappatura completa della topologia di rete
• Identificazione di VPN e tunnel IPSec configurati
• Raccolta di chiavi pre-shared e certificati
• Enumerazione di ACL e policy di sicurezza

La scarsa adozione di questa tecnica (solo 1 gruppo documentato) suggerisce barriere tecniche significative o preferenza per metodi alternativi. Gruppi sofisticati potrebbero utilizzarla senza essere rilevati, data la difficoltà di detection su dispositivi legacy.

L'evoluzione futura potrebbe vedere:

• Maggiore targeting di dispositivi SDN e controller centralizzati
• Sviluppo di tool automatizzati per parsing configurazioni multi-vendor
• Integrazione con framework C2 esistenti per automazione
• Focus su configurazioni cloud e virtualizzate

La geografia delle vittime di Salt Typhoon fornisce indicatori per prioritizzare il threat hunting in specifici settori industriali e aree geografiche ad alto rischio.

Questa analisi si basa sul framework MITRE ATT&CK, tecnica T1602.002. Le informazioni sui gruppi APT derivano dalle attribuzioni pubblicate da MITRE. I controlli di mitigazione seguono le best practice M1030, M1031, M1037, M1041, M1051 e M1054 del framework.