Credenziali nei File: Credentials In Files (T1552.001)

Il modo più rapido per simulare questa tecnica in laboratorio è partire da ciò che fanno davvero gli attaccanti: cercare pattern ricorrenti nei file di configurazione. Su una macchina Windows compromessa, un primo passaggio con findstr consente di scandagliare intere directory alla ricerca di stringhe sospette:

findstr /si "password=" C:\Users\*.xml C:\Users\*.ini C:\Users\*.txt C:\Users\*.cfg

Questo comando cerca ricorsivamente (/s) senza distinzione maiuscole/minuscole (/i) la stringa password= nei file con le estensioni più comuni. In un assessment reale è utile estendere la ricerca ai file .env, .ps1 e .config, dove spesso si annidano credenziali di deployment.

Su Linux la controparte è altrettanto immediata. Con grep si perlustrano le home directory e le configurazioni di sistema:

grep -ri "password|secret|token" /home/ /etc/ /opt/ --include="*.conf" --include="*.env" --include="*.yml" 2>/dev/null

Per i contesti cloud e container — come quelli colpiti da TeamTNT — vale la pena cercare esplicitamente credenziali AWS e Docker:

cat ~/.aws/credentials 2>/dev/null; cat ~/.docker/config.json 2>/dev/null; find / -name ".kubeconfig" 2>/dev/null*

Il tool più utilizzato dai gruppi APT documentati è senza dubbio LaZagne (open source), impiegato da APT33, Leafminer, OilRig e RedCurl. In laboratorio si lancia con un singolo comando:

lazagne.exe all

LaZagne interroga i credential store di browser, client email, client FTP, database, Wi-Fi e chat, restituendo un report unificato. Per un assessment più strutturato, PoshC2 (open source) offre moduli dedicati alla ricerca di password in file locali e remoti, mentre Empire (open source) mette a disposizione moduli specifici per enumerare file contenenti credenziali su host Windows.

Su macOS il vettore principale è il Keychain, ma non va trascurata la ricerca nei plist e nei file di configurazione:

grep -ri "password" ~/Library/Preferences/ 2>/dev/null

Un aspetto spesso ignorato nei test è la verifica dei file di log dei container. In ambienti Kubernetes, i parametri di deployment possono contenere secret passati come argomento da riga di comando, visibili nei log del pod. Il comando kubectl logs può rivelare token e password mai sanificati.

Per simulare lo scenario della campagna SharePoint ToolShell Exploitation (C0058), si può verificare l'accesso ai file web.config e machine.config di un'installazione SharePoint on-premises, dove i valori MachineKey sono spesso archiviati in chiaro.

La detection di questa tecnica si gioca sulla correlazione tra due eventi: l'accesso a un file sospetto e il successivo uso delle credenziali estratte. Non basta monitorare i file — serve contestualizzare chi li legge, da quale processo e cosa succede dopo.

Su Windows la detection primaria sfrutta i log Sysmon e Security. L'analytic DET0307/AN0856 suggerisce di correlare l'accesso a file con pattern come *.env, *credential*, *.xml, *.ps1 con l'esecuzione di processi sospetti o tentativi di autenticazione successivi. Il parametro chiave di tuning è il TimeWindow: la finestra temporale tra l'accesso al file e il logon attempt. Un valore iniziale di 60 secondi cattura le automazioni, ma va allargato a 5 minuti per gli attaccanti manuali.

Il log source principale è WinEventLog:Sysmon con EventCode 11 (FileCreate) ed EventCode 1 (ProcessCreate), correlati con EventCode 4624 e 4648 dal Security log. Il tuning ProcessAccessScope consente di restringere il monitoraggio ai processi non trusted o ad alto rischio — ad esempio cmd.exe, powershell.exe, python.exe che accedono a directory come C:\inetpub o C:\Users\*\AppData.

Su Linux (AN0857) i log auditd:SYSCALL e auditd:EXECVE tracciano le letture di file sensibili. Una regola auditd efficace monitora i file di configurazione contenenti credenziali:

-w /etc/shadow -p r -k cred_access -w /home/ -p r -k cred_files

Il tuning RegexPatterns permette di personalizzare i pattern cercati (password, secret, token, api_key) e va adattato all'ambiente. Il UserContextScope è cruciale per ridurre i falsi positivi: gli accessi da parte di servizi legittimi (backup agent, configuration management) generano rumore significativo.

Per i container (AN0859), il monitoraggio via eBPF delle syscall sui percorsi /run/secrets e /mnt/config è la strategia più efficace. I log Kubernetes audit catturano l'accesso ai Secret object, mentre il tuning ProcessBaselineDeviation identifica i processi che deviano dal comportamento atteso dell'immagine container.

In ambiente IaaS (AN0860), la correlazione tra accesso a file come ~/.aws/credentials e successive chiamate AssumeRole in CloudTrail rappresenta un indicatore forte. Il TimeWindow tra lettura del file e role assumption è il parametro di correlazione più significativo.

I falsi positivi più comuni provengono da strumenti di gestione configurazione (Ansible, Puppet, Chef) e da script di automazione che leggono legittimamente file di credenziali. La whitelist basata su process hash e parent process è preferibile a quella basata su nome file.

L'analisi forense di questa tecnica si concentra sulla ricostruzione della sequenza: quali file sono stati letti, da quale processo, e come le credenziali estratte sono state riutilizzate.

Su Windows, il punto di partenza è la Master File Table (MFT). Il timestamp $STANDARD_INFORMATION.LastAccess sui file target — web.config, .env, unattend.xml, file di profilo browser — rivela quando sono stati letti. Lo strumento MFTECmd di Eric Zimmerman (open source) consente di parsare la MFT ed estrarre i timestamp:

MFTECmd.exe -f "C:$MFT" --csv "C:\output" --csvf mft_parsed.csv

Dalla timeline MFT si cercano accessi anomali a percorsi come C:\inetpub\wwwroot\web.config — esattamente ciò che è stato osservato nella campagna SharePoint ToolShell Exploitation (C0058), dove gli attaccanti hanno estratto i valori MachineKey da web.config e machine.config.

I log Sysmon, se abilitati, forniscono la correlazione processo-file attraverso EventCode 1 (creazione processo). Se LaZagne è stato eseguito — come documentato per APT33, OilRig, Leafminer e RedCurl — la sua esecuzione genera artefatti nei Prefetch (lazagne.exe-*.pf), negli Amcache e nei log Sysmon. Il tool PECmd (open source) di Eric Zimmerman parsa i file Prefetch:

PECmd.exe -d "C:\Windows\Prefetch" --csv "C:\output" --csvf prefetch.csv

Un pattern forense significativo è la catena: accesso al file di credenziali → esecuzione di un client di rete (ssh, RDP, psexec) → logon su un host remoto. Gli eventi 4648 (Explicit Credential Logon) nel Security log documentano l'uso di credenziali alternative e si correlano temporalmente con l'accesso ai file sorgente.

Su Linux, i log auditd con le regole di watch attive registrano le syscall open() e read() sui file monitorati. Il file auth.log (o secure su RHEL) registra i successivi tentativi SSH. La correlazione temporale tra un open() su ~/.aws/credentials e una connessione SSH in uscita costruisce una catena evidenziale solida.

Per ambienti container, come quelli colpiti da Hildegard, gli artefatti chiave sono i log del container runtime (containerd, Docker) e gli audit log Kubernetes. L'accesso a percorsi come /run/secrets/kubernetes.io/serviceaccount/token o /var/run/docker.sock va correlato con attività di rete successive.

Nella campagna Leviathan Australian Intrusions (C0049), le credenziali recuperate da file relativi ai sistemi BMS (Building Management System) sono state riutilizzate per movimento laterale. In casi simili, l'analisi dei log di autenticazione dei sistemi OT/IoT diventa parte integrante della timeline.

L'artefatto più sottovalutato è la ShimCache (AppCompatCache): registra l'esecuzione di binari anche se i Prefetch sono disabilitati, ed è fondamentale per dimostrare l'esecuzione di tool come LaZagne su sistemi server dove il Prefetch è spesso inattivo.

La tecnica T1552.001 è un denominatore comune trasversale a gruppi con motivazioni, origini e obiettivi molto diversi. Questo la rende un indicatore debole per l'attribuzione ma un eccellente punto di osservazione per comprendere le catene operative.

APT33 e OilRig, entrambi attribuiti all'ecosistema iraniano, condividono l'uso di LaZagne come tool primario di credential harvesting. Questo tool overlap è significativo: LaZagne è open source, facilmente disponibile e produce output strutturato. La scelta di tool pubblici è coerente con la strategia di "vivere fuori dalla terra" che complica l'attribuzione. MuddyWater, anch'esso legato all'Iran, adotta un approccio più mirato rubando password salvate nei client email delle vittime.

Fox Kitten, collegato allo stesso ecosistema, completa il quadro iraniano con accesso diretto a file contenenti credenziali. Il cluster iraniano mostra una chiara predilezione per il credential harvesting come ponte verso la persistenza a lungo termine e l'accesso VPN, piuttosto che come obiettivo finale.

Kimsuky, legato alla Corea del Nord, usa la tecnica con focus sulle credenziali email salvate — coerente con il mandato di raccolta intelligence che caratterizza il gruppo. APT3, storicamente attribuito alla Cina, si distingue per tool custom capaci di estrarre credenziali da browser come Firefox e Chrome, suggerendo un investimento in capability proprietarie superiore a quello dei cluster iraniani.

Sul fronte delle campagne, SharePoint ToolShell Exploitation (C0058) rappresenta un caso emblematico di come credenziali nei file di configurazione diventino enabler per attacchi più complessi. L'estrazione dei MachineKey da web.config ha permesso agli attaccanti — tra cui attori cinesi — di forgiare token VIEWSTATE per payload di deserializzazione. La campagna Leviathan Australian Intrusions (C0049) mostra invece come le credenziali in file possano estendersi a contesti OT/IoT, con file BMS contenenti password usate per escalation.

Scattered Spider introduce un pattern distinto: anziché usare tool automatici, il gruppo cerca attivamente documentazione sullo storage delle credenziali nell'host compromesso, un approccio "hands-on-keyboard" tipico della sua operatività. TeamTNT invece specializza la tecnica sul cloud, cercando credenziali AWS e Docker non protette — un trend in crescita con l'espansione degli ambienti containerizzati. Ember Bear, infine, dimostra che la tecnica si applica anche ai dispositivi IoT, avendo estratto credenziali in chiaro dalle configurazioni di telecamere IP.

Il trend emergente è chiaro: la superficie di attacco si sta spostando dai file di configurazione tradizionali (browser, email, FTP) verso credenziali cloud e container, con token di servizio, secret Kubernetes e configurazioni IaaS che diventano il bersaglio primario.

Framework MITRE ATT&CK: T1552.001, TA0006. Campagne: C0058 (SharePoint ToolShell Exploitation), C0049 (Leviathan Australian Intrusions). Detection: DET0307, AN0856–AN0860. Tool di detection: Sysmon, auditd, MFTECmd, PECmd. Integrato con conoscenza professionale per tool e procedure operative.