Registrazione Dispositivi Fantasma: Device Registration (T1098.005)

La tecnica Device Registration consente a un avversario di registrare un dispositivo sotto il proprio controllo all'interno dell'infrastruttura identitaria della vittima — che si tratti di un sistema MFA come Duo o Okta, oppure di una piattaforma di gestione dispositivi come Microsoft Intune collegata a Entra ID. L'obiettivo è duplice e si riflette nelle due tattiche associate: ottenere persistenza (TA0003) sopravvivendo a rotazioni di credenziali e reset di sessione, e realizzare una privilege escalation (TA0004) aggirando policy di accesso condizionale che filtrano l'accesso in base al dispositivo registrato.

Il meccanismo è subdolo perché sfrutta funzionalità legittime. Molti sistemi MFA permettono il self-enrollment del primo dispositivo con sole credenziali username/password, specialmente su account dormienti mai attivati. Una volta registrato, il dispositivo dell'attaccante diventa "trusted" agli occhi della piattaforma, aprendo l'accesso a risorse sensibili, caselle di posta per spearphishing interno e dati protetti da conditional access. In scenari estremi, la registrazione massiva di dispositivi può persino generare un Service Exhaustion Flood sul tenant Entra ID.

Con 1 gruppo APT documentato, 1 tool specifico, 2 campagne reali e 1 mitigazione chiave, questa tecnica rappresenta un vettore concreto e attuale, particolarmente rilevante in ambienti cloud-first.

La simulazione di questa tecnica in laboratorio richiede un tenant Entra ID di test e un modulo PowerShell che è diventato lo standard de facto per l'offensive security su Azure AD: AADInternals (open source). Questo toolkit, sviluppato da Nestori Syynimaa, espone funzionalità interne di Entra ID che normalmente non sono accessibili tramite le API ufficiali.

Il flusso d'attacco parte dal presupposto che l'operatore abbia già compromesso credenziali valide — tipicamente tramite password spraying o phishing. Il primo passo è ottenere un token di accesso e poi registrare un dispositivo nel tenant.

Per installare e importare il modulo:

Install-Module AADInternals -Scope CurrentUser Import-Module AADInternals

Ottenere un token di accesso con le credenziali compromesse:

$token = Get-AADIntAccessTokenForAADJoin -Credentials (Get-Credential)

Procedere alla registrazione del dispositivo:

Join-AADIntDeviceToAzureAD -DeviceName "YOURDEVICE" -AccessToken $token -DeviceType "Windows" -OSVersion "10.0.19045.0"

Questo comando registra un dispositivo nel tenant Entra ID con un nome e un tipo a scelta dell'operatore. Il dispositivo risulterà "Azure AD Joined" e potrà essere usato per soddisfare policy di conditional access che richiedono un dispositivo registrato.

Per simulare lo scenario MFA su account dormiente, l'approccio varia in base alla piattaforma. Su Okta, ad esempio, un account che non ha mai completato l'enrollment MFA presenta tipicamente un self-service portal che accetta username e password come unico fattore iniziale. In laboratorio, è possibile configurare un tenant Okta Developer (gratuito) con un utente privo di fattori MFA registrati e verificare che il portale consenta l'enrollment di un nuovo dispositivo senza challenge aggiuntivi.

Un aspetto critico da testare è la catena post-registrazione: una volta che il dispositivo è trusted, verificare se consente l'accesso a risorse protette da conditional access, l'invio di email intra-organizzazione tramite Exchange Online, o la sincronizzazione della casella di posta tramite il cmdlet Set-CASMailbox. Quest'ultimo scenario replica esattamente ciò che è stato osservato in campagne reali.

Per il reporting, documentare il delta tra lo stato pre-registrazione (accesso negato da conditional access) e post-registrazione (accesso consentito), evidenziando quali policy sono state aggirate.

Vuoi diventare un Ethical Hacker ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto fin dal primo passo

La detection di questa tecnica si gioca su due piani: il monitoraggio dei log del provider di identità cloud e la correlazione con il contesto comportamentale dell'utente. Il punto di partenza sono gli Azure Audit Logs (sorgente azure:audit) e i log del portale Entra ID (ApplicationLog:EntraIDPortal), che registrano ogni operazione di registrazione dispositivo.

L'evento chiave da monitorare in Entra ID è l'operazione "Register device" nella categoria Audit DeviceManagementConfiguration. In un ambiente sano, queste operazioni provengono da IP aziendali noti, durante orario lavorativo, da utenti attivi. L'alert deve scattare quando il pattern devia: registrazione da IP geolocalizzato in un paese inatteso, orario anomalo, o — segnale fortissimo — registrazione su un account precedentemente dormiente.

Per la componente Windows, i log WinEventLog:Security e i log di enrollment Intune/MDM catturano il lato endpoint della registrazione. L'EventCode 4768 (TGT request) correlato a un nuovo device name non conforme alla naming convention aziendale è un indicatore da non sottovalutare.

La strategia di tuning è fondamentale per ridurre i falsi positivi. Tre parametri richiedono calibrazione:

ActorUserPrincipalName: definire una whitelist degli admin autorizzati a registrare dispositivi e degli utenti in fase di onboarding attivo (integrare con i dati HR se disponibili).
IP Address: separare le registrazioni provenienti da reti interne o VPN aziendali da quelle originate da IP esterni sconosciuti. Solo le seconde generano alert ad alta priorità.
TimeWindow: restringere la finestra di enrollment "normale" all'orario lavorativo del fuso orario dell'utente. Registrazioni alle 3 di notte su un account italiano meritano escalation immediata.

Un pattern particolarmente insidioso è la registrazione multipla di dispositivi in rapida successione sullo stesso account, che può indicare sia un tentativo di brute-force dell'enrollment sia la preparazione di un Service Exhaustion Flood. Una regola di correlazione che conti il numero di registrazioni per utente in una finestra di 24 ore, con soglia a 2-3 dispositivi, cattura efficacemente questo scenario.

Per la componente Intune, distinguere tra enrollment via MDM automatico (tipico di deployment aziendali con Autopilot), onboarding manuale tramite portale Company Portal, e registrazioni scriptate — quest'ultima modalità è la più sospetta e si riconosce dal pattern di chiamate API ravvicinate senza interazione utente nel portale.

Vuoi diventare SOC Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e scopri come si monitorano e bloccano gli attacchi informatici

L'analisi forense di un device registration malevolo si sviluppa interamente su artefatti cloud e, in seconda battuta, su tracce endpoint del dispositivo registrato dall'attaccante. Non esiste un artefatto locale sulla workstation della vittima, perché l'operazione avviene nel piano di controllo del provider di identità.

Il primo artefatto da acquisire è il Unified Audit Log di Microsoft 365, dove l'operazione "Add registered owner to device" e "Add registered users to device" documentano chi ha registrato cosa e quando. Il campo ActorUserPrincipalName identifica l'account compromesso, mentre TargetDeviceId è il GUID del dispositivo fantasma. Questo GUID diventa il pivot dell'intera indagine.

Dal portale Entra ID (sezione Devices), estrarre i metadati del dispositivo registrato: sistema operativo dichiarato, data di registrazione, ultimo accesso, stato di compliance Intune. Un dispositivo che dichiara "Windows 10" ma non risulta mai compliant in Intune è un forte indicatore di registrazione malevola — l'attaccante raramente si preoccupa di rendere il dispositivo conforme alle policy aziendali.

Per ricostruire la timeline, correlare tre flussi temporali:

La compromissione iniziale delle credenziali emerge dai Sign-in Logs di Entra ID: cercare accessi riusciti da IP anomali o eventi di password spray (multipli tentativi falliti seguiti da un successo) nelle ore o giorni precedenti la registrazione. In campagne documentate come la SolarWinds Compromise (C0024), APT29 ha sfruttato password guessing su account dormienti per poi registrare un dispositivo MFA e abilitare la sincronizzazione delle caselle di posta tramite Set-CASMailbox.

Il momento della registrazione è l'evento pivot. Nella campagna C0027, il gruppo finanziariamente motivato ha registrato dispositivi MFA per mantenere persistenza attraverso la VPN delle vittime — il che significa che l'artefatto di registrazione precede temporalmente i log VPN anomali, offrendo una finestra di detection precoce.

Il post-exploitation si ricostruisce cercando attività originate dal DeviceId malevolo: accessi a SharePoint, sincronizzazioni Exchange, email inviate internamente. In Entra ID, filtrare i Sign-in Logs per DeviceId del dispositivo sospetto rivela l'intera catena di accesso alle risorse.

Per ambienti Okta o Duo, i log di enrollment MFA contengono campi equivalenti: device fingerprint, enrollment timestamp, IP di origine. Esportare questi log e allinearli temporalmente con gli accessi VPN e le attività email completa il quadro investigativo.

Vuoi diventare Forensic Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto per analizzare incidenti e prove digitali

APT29 — Il riferimento operativo

APT29 (alias Cozy Bear, NOBELIUM, The Dukes) è l'unico gruppo APT documentato per questa tecnica, ma il suo utilizzo è tutt'altro che occasionale: è una componente strutturale della loro metodologia di accesso a tenant cloud. Attribuito all'SVR russo, il gruppo ha integrato il device registration come fase critica nella catena di persistenza post-compromissione di credenziali.

Nella SolarWinds Compromise (C0024), una delle operazioni di supply chain più sofisticate mai documentate, APT29 ha combinato password guessing su account dormienti con l'enrollment di dispositivi MFA in ambienti Azure AD, per poi abilitare la sincronizzazione delle caselle di posta tramite Set-CASMailbox. Questa sequenza — credenziali deboli → device registration → mailbox sync — rappresenta un pattern ripetibile e prevedibile. La campagna, attiva tra agosto 2019 e gennaio 2021, ha colpito organizzazioni governative, tecnologiche e di consulenza in Nord America, Europa, Asia e Medio Oriente, ed è stata pubblicamente attribuita all'SVR dai governi statunitense e britannico.

Scattered Spider — L'adozione finanziaria

La campagna C0027 (giugno-dicembre 2022) dimostra che il device registration non è esclusiva dello spionaggio statale. Il gruppo finanziariamente motivato ha utilizzato social engineering e SIM swapping per compromettere aziende di telecomunicazioni e BPO, registrando poi dispositivi MFA per mantenere accesso persistente attraverso le VPN delle vittime. Questo pattern di adozione crossover — una tecnica nata in contesto APT che migra verso il cybercrime finanziario — suggerisce che la minaccia sia destinata ad ampliarsi.

Pattern e convergenze

Il tool AADInternals funge da ponte tra i due contesti operativi. Essendo un toolkit PowerShell open source e pubblicamente documentato, abbassa drasticamente la barriera d'ingresso per qualsiasi attore che voglia registrare dispositivi in tenant Entra ID. La convergenza tra attori statali e criminali su questa tecnica indica che qualsiasi organizzazione con un tenant cloud e policy MFA self-service è un bersaglio potenziale.

L'elemento predittivo più rilevante riguarda gli account dormienti: entrambe le campagne documentate hanno sfruttato account inattivi o con MFA non ancora configurato. La raccomandazione strategica è chiara — l'inventario e la bonifica degli account dormienti è la misura preventiva con il miglior rapporto costo-efficacia contro questa tecnica.