Dead Drop Resolver: Web Service – Dead Drop Resolver (T1102.001)

Il modo più efficace per testare la resilienza di un'organizzazione contro il dead drop resolver è costruire un flusso completo: pubblicare un indirizzo C2 offuscato su un servizio legittimo, poi far sì che un agente lo recuperi e stabilisca la connessione. L'intero esercizio si svolge in laboratorio con infrastruttura controllata.

Fase 1 — Preparare il dead drop. Crea un GitHub Gist (o un repository privato che simuli un servizio pubblico) contenente l'IP del tuo server C2 codificato in Base64. Un esempio banale ma rappresentativo: il contenuto del Gist è MARKER_START|MTkyLjE2OC4xLjEwMDo0NDM=|MARKER_END, dove la stringa Base64 decodificata restituisce l'indirizzo del listener. Questa struttura con marker delimitatori replica il comportamento di BLACKCOFFEE, che nascondeva tag encoded nelle pagine di Microsoft TechNet, e di Patchwork, che inseriva commenti Base64 in siti legittimi.

Fase 2 — Costruire il resolver lato agente. Su una macchina Linux di test, un semplice script Bash emula la logica del malware:

curl -s | grep -oP 'MARKER_START|\K[^|]+' | base64 -d

Lo script scarica la pagina, estrae il contenuto tra i marker e decodifica l'IP. Per un esercizio più realistico, puoi usare PowerShell su Windows:

$page = Invoke-WebRequest -Uri "" -UseBasicParsing; $encoded = [regex]::Match($page.Content, 'MARKER_START|(.+?)|MARKER_END').Groups[1].Value; [System.Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($encoded))

Fase 3 — Connessione al C2. Una volta estratto l'indirizzo, l'agente apre una sessione verso il listener. Con Sliver (open source) puoi generare un implant che accetti l'IP come parametro runtime, simulando la risoluzione dinamica. In alternativa, Mythic (open source) supporta profili C2 personalizzabili in cui il primo stage recupera la configurazione da un servizio esterno.

Varianti da testare. Per simulare il comportamento di RTM, che usava feed RSS su Livejournal con nomi C2 cifrati, puoi cifrare l'indirizzo con AES e inserirlo in un feed RSS locale servito da un web server Python. Lo script agente scarica il feed, decifra il campo con la chiave embedded e si connette. Questa variante testa la capacità del SOC di rilevare pattern di accesso a feed RSS seguiti da connessioni outbound verso IP nuovi.

Per replicare lo scenario blockchain di RTM (che nascondeva IP C2 in transazioni Bitcoin e Namecoin), puoi inserire l'indirizzo C2 codificato nel campo OP_RETURN di una transazione su una testnet Bitcoin, poi far sì che l'agente interroghi un block explorer per recuperarlo.

La sfida del dead drop resolver per un SOC è chiara: il traffico iniziale è una richiesta HTTPS verso un dominio legittimo. Non puoi bloccare GitHub o Google Docs senza impattare il business. La detection deve quindi spostarsi dalla singola connessione alla correlazione comportamentale tra la visita al servizio legittimo e ciò che accade subito dopo.

Il pattern da cercare. Un processo non-browser (o un processo browser lanciato da un eseguibile sospetto) contatta un servizio web noto, scarica una piccola quantità di dati, e nei secondi o minuti successivi stabilisce una connessione verso un IP o dominio che non era mai comparso nel traffico della rete. Questa sequenza — fetch leggero seguito da connessione a destinazione nuova — è il segnale comportamentale chiave.

Log source e configurazione. Su Windows, Sysmon è il pilastro. L'EventCode 22 (DNS Query) cattura la risoluzione dei domini del servizio legittimo; l'EventCode 3 (Network Connection) registra le connessioni successive. La correlazione temporale tra i due eventi, filtrata per processi non-browser, genera un alert ad alta fedeltà. Configura il parametro di tuning TimeWindow tra i 30 e i 120 secondi per bilanciare copertura e rumore. Il filtro UserContext è essenziale: escludi gli account di servizio noti che contattano legittimamente le API di GitHub o Google.

Su Linux, auditd con regole sulle syscall connect e execve permette di tracciare quale processo ha iniziato la connessione. Integra con il monitoraggio dei flussi di rete (NSM flow data) per correlare il volume di dati scaricato dal servizio legittimo — i dead drop sono tipicamente payload di pochi kilobyte, mai megabyte.

Su macOS, i log unificati (macos:unifiedlog) catturano le connessioni di rete per processo, mentre osquery (open source) permette query periodiche sulle connessioni attive con il campo process_name associato.

Per ambienti ESXi, monitora i log vobd e i flussi firewall per connessioni outbound verso servizi web da host che normalmente non generano questo tipo di traffico. Il parametro di tuning Protocol aiuta a identificare pattern anomali come DNS-over-HTTPS da processi di gestione.

Gestione dei falsi positivi. Il tasso di falsi positivi può essere elevato se non filtri correttamente. Costruisci una baseline dei processi che legittimamente contattano Pastebin, GitHub, Google Docs e YouTube nella tua rete. Ogni processo fuori dalla baseline che contatta questi servizi merita un'analisi. Un secondo livello di filtro è l'entropia del payload ricevuto: il parametro PayloadEntropyThreshold nella detection Linux segnala contenuti ad alta entropia (Base64, cifratura), tipici del dead drop ma rari nel traffico legittimo verso questi stessi servizi.

Mitigazioni attive. Un web proxy con categorizzazione dei contenuti (M1021) può bloccare selettivamente l'accesso a Pastebin o a specifici Gist GitHub per processi non autorizzati. Le firme IDS/IPS (M1031) possono intercettare pattern noti nei payload, come i marker delimitatori usati da famiglie malware documentate.

Quando un dead drop resolver è parte dell'intrusione, la timeline si articola su due assi: la connessione al servizio legittimo (il "drop") e la connessione al C2 reale (il "resolve"). L'obiettivo dell'analisi forense è collegare questi due momenti e ricostruire l'intera catena.

Artefatti Windows. Parti dai log Sysmon. L'EventCode 3 con DestinationHostname corrispondente a piattaforme note (Pastebin, GitHub, TechNet, YouTube) e Image diverso dai browser installati è il primo indicatore. Correla con l'EventCode 1 (Process Create) per risalire al processo padre. In molti casi documentati — BADNEWS, PlugX, KEYPLUG — il processo che contatta il dead drop è un eseguibile sconosciuto lanciato da una directory temporanea o dalla cartella utente.

La cache DNS di Windows conserva le risoluzioni recenti. Il comando ipconfig /displaydns su un sistema live restituisce le entry residue, che possono rivelare sia il dominio del servizio legittimo sia il dominio C2 risolto subito dopo. Sul disco, il file %SystemRoot%\System32\config\SYSTEM contiene artefatti di rete analizzabili con RegRipper (open source).

Per i browser-based artifact, la cronologia e la cache del browser possono contenere frammenti della pagina del dead drop. Se il malware ha usato le API HTTP di Windows (WinHTTP/WinINet), le tracce finiscono nella cache di Internet Explorer/Edge legacy, analizzabile con ESEDatabaseView (gratuito) sul file WebCacheV01.dat.

Artefatti Linux. I log di auditd con la syscall connect registrano il socket aperto verso il servizio esterno, incluso il PID del processo chiamante. Il file ~/.bash_history può contenere tracce se l'attaccante ha usato curl o wget manualmente. Il journal di systemd (journalctl) e i log del resolver DNS locale completano il quadro.

Ricostruzione del contenuto del dead drop. Se la pagina web è ancora online, acquisisci una copia forense del contenuto con strumenti come wget con flag di mirroring o il servizio Wayback Machine di Internet Archive. Per i Gist GitHub, le revisioni precedenti sono spesso accessibili e mostrano la cronologia delle modifiche — un dettaglio cruciale, perché durante la campagna C0017 il gruppo APT41 aggiornava frequentemente i post sui forum tech con nuovi dead drop resolver per il backdoor KEYPLUG.

Correlazione con fonti esterne. I log di Certificate Transparency (consultabili tramite il servizio crt.sh) possono rivelare certificati emessi per i domini C2 estratti dal dead drop. Il passive DNS — disponibile attraverso piattaforme come PassiveTotal (freemium) o DNSDB di Farsight (a pagamento) — mostra la storia delle risoluzioni per quei domini, aiutando a determinare quando l'infrastruttura C2 è stata attivata rispetto alla data del dead drop. Nella campagna 3CX Supply Chain Attack (C0057), il repository GitHub usato da AppleJeus per ospitare file icona contenenti l'URL C2 costituisce un artefatto esterno recuperabile e correlabile con i timestamp di compromissione degli endpoint.

Il dead drop resolver è una tecnica condivisa da gruppi con obiettivi e capacità molto diversi, il che la rende un ottimo punto di osservazione per il profiling comparativo. Sei gruppi documentati la impiegano, ma con scelte operative che rivelano priorità e livelli di sofisticazione distinti.

APT41 rappresenta il profilo più versatile. Nella campagna C0017, che ha compromesso almeno sei reti governative statali negli Stati Uniti tra maggio 2021 e febbraio 2022, il gruppo ha utilizzato dead drop resolver su forum di community tech per il backdoor KEYPLUG, aggiornando frequentemente i post per ruotare l'infrastruttura. La scelta di forum tecnici anziché piattaforme mainstream come Pastebin suggerisce un'attenzione alla mimetizzazione settoriale: il traffico verso forum IT da reti governative è meno anomalo di quello verso Pastebin. APT41 ha usato anche GitHub e Pastebin in altre operazioni, dimostrando la capacità di adattare il canale al target.

Kimsuky impiega il dead drop attraverso TRANSLATEXT, recuperando configurazioni e comandi da un sito blog pubblico. Questo approccio si allinea con la tendenza del gruppo a utilizzare infrastrutture leggere e servizi gratuiti, coerente con operazioni di raccolta intelligence a basso costo infrastrutturale.

Patchwork aggiunge un livello di offuscamento nascondendo gli indirizzi C2 in commenti codificati Base64 e cifrati su siti legittimi. L'uso della cifratura oltre alla codifica distingue questo gruppo dalla maggior parte degli operatori che si affidano alla sola codifica Base64.

RTM mostra l'approccio più creativo: oltre al feed RSS su Livejournal per aggiornare i nomi C2 cifrati, il malware omonimo ha nascosto indirizzi IP C2 di Pony all'interno di transazioni sulle blockchain Bitcoin e Namecoin. L'uso della blockchain come dead drop è particolarmente resiliente perché il contenuto è immutabile e pubblicamente accessibile senza autenticazione.

BRONZE BUTLER e Rocke completano il panorama. Il primo usa il dead drop tramite il downloader MSGET per accedere a payload malevoli; il secondo sfrutta Pastebin sia per il versioning del malware di beaconing sia come redirector verso versioni aggiornate.

Pattern operativi trasversali. Il panorama dei 15 software che implementano questa tecnica rivela una preferenza netta per piattaforme specifiche: Pastebin è la più diffusa (usata da PlugX, Xbash, Rocke), seguita da GitHub e YouTube (usati rispettivamente da APT41/AppleJeus e da Metamorfo, Javali, Astaroth). I banking trojan sudamericani — Grandoreiro, Javali, Metamorfo, Astaroth — prediligono i servizi Google (Docs, YouTube) e i provider cloud (AWS, CloudFlare), probabilmente per la loro diffusione capillare nelle reti target. La campagna C0057 (3CX Supply Chain Attack) dimostra come il dead drop possa integrarsi in attacchi alla supply chain di portata globale, con AppleJeus che ha sfruttato un repository GitHub per ospitare file icona contenenti URL C2 durante una compromissione che ha coinvolto oltre 600.000 clienti 3CX.

Framework MITRE ATT&CK: tecnica T1102.001, tattica TA0011, campagne C0057 e C0017, mitigazioni M1021 e M1031. Tool di detection: Sysmon, auditd, osquery. Integrato con conoscenza professionale per tool e procedure operative.