Certificati Digitali come Arma: Digital Certificates (T1588.004)

In un esercizio red team, l'acquisizione di certificati digitali è una delle fasi di Resource Development più realistiche da simulare. L'obiettivo è dotare l'infrastruttura C2 di un certificato valido che superi le ispezioni TLS e non generi warning nei browser o nei proxy della vittima.

Il primo scenario replica la catena usata da Silent Librarian: ottenere un certificato gratuito tramite Let's Encrypt per un dominio di phishing. Una volta registrato un dominio lookalike, il tool Certbot (open source) permette di generare un certificato DV in pochi secondi:

sudo certbot certonly --standalone -d login-portal-target.com

Il certificato viene emesso senza alcuna verifica dell'identità del richiedente — basta dimostrare il controllo del dominio. Questo è esattamente il meccanismo sfruttato dagli attori per creare pagine di credential harvesting con il lucchetto verde nel browser.

Per uno scenario C2 più sofisticato, come quelli adottati da Lazarus Group e Mustang Panda, si può integrare il certificato direttamente in un listener Cobalt Strike (a pagamento) o nel framework open source Sliver (open source). In Sliver, la generazione di un listener HTTPS con certificato personalizzato avviene tramite:

https -c /path/to/cert.pem -k /path/to/key.pem -l 443

Per simulare la tecnica di certificate impersonation adottata da Sea Turtle — ovvero richiedere un certificato firmato da una CA diversa per un dominio che la vittima usa con un'altra CA — è necessario disporre del controllo DNS del dominio target. In ambito lab, questo si simula con un dominio sotto il proprio controllo: si ottiene un primo certificato da Let's Encrypt, poi un secondo da un'altra CA gratuita come ZeroSSL (freemium), dimostrando come un medesimo dominio possa presentare certificati emessi da soggetti diversi.

Infine, per replicare lo scenario di UNC3886 — estrazione di certificati TLS legittimi da dispositivi compromessi — è possibile esercitarsi su un FortiGate in laboratorio. Una volta ottenuto accesso alla CLI del dispositivo, il certificato si esporta con:

execute vpn certificate local export tftp

Il certificato e la chiave privata estratti vengono poi riutilizzati per firmare payload o cifrare canali C2, rendendo il traffico malevolo indistinguibile da quello legittimo dell'organizzazione.

Un buon esercizio finale consiste nell'analizzare i propri certificati con OpenSSL (open source) per verificare la coerenza delle informazioni di ownership:

openssl x509 -in cert.pem -text -noout

La detection diretta di T1588.004 è un paradosso: l'acquisizione avviene fuori dal perimetro, ma i suoi effetti si manifestano nel traffico di rete e negli artefatti endpoint. La strategia vincente combina monitoraggio esterno dei certificati con analisi comportamentale delle connessioni TLS in ingresso e in uscita.

Il primo pilastro è il Certificate Transparency monitoring. I log CT sono registri pubblici in cui le CA annotano ogni certificato emesso. Servizi come Cert Spotter (open source) o la piattaforma crt.sh (gratuito) permettono di configurare alert automatici quando viene emesso un certificato contenente il nome del proprio dominio o varianti typosquatting. Questo è il meccanismo più diretto per intercettare operazioni come quelle di Silent Librarian, che sfruttano Let's Encrypt per domini lookalike.

Il secondo pilastro riguarda l'ispezione TLS sul proxy. Se l'organizzazione opera TLS inspection tramite proxy — Palo Alto NGFW (a pagamento), Zscaler (a pagamento) o Squid con ssl-bump (open source) — è possibile estrarre metadati dei certificati dal traffico in uscita. Gli indicatori da monitorare sono:

• Certificati DV emessi da CA gratuite (Let's Encrypt, ZeroSSL) su connessioni verso domini registrati da meno di 30 giorni
• Mismatch tra il Subject Alternative Name del certificato e il dominio effettivo della connessione
• Certificati con validità anomala (troppo breve o troppo lunga rispetto alla media del settore)
• Cambi improvvisi di CA per domini con cui l'organizzazione comunica abitualmente — scenario Sea Turtle

In Splunk (freemium) o Elastic Security (freemium), una regola correlativa può incrociare i log del proxy con un feed di domini neo-registrati (NRD feed). La logica è semplice: connessione HTTPS in uscita verso dominio con età inferiore a 14 giorni, certificato DV da CA gratuita, processo sorgente non-browser. Questa combinazione riduce drasticamente i falsi positivi.

Per lo scenario UNC3886 — certificati legittimi rubati da appliance — il detection point si sposta sugli endpoint e sui dispositivi di rete. Un alert su EventCode 4656 o 4663 che registri accesso ai file del certificate store di Windows, combinato con processi non-standard, segnala tentativi di esportazione. Su appliance FortiGate, il forwarding dei log di audit verso il SIEM consente di intercettare comandi di esportazione certificati anomali.

Il tasso di falsi positivi per le regole basate su certificati DV è significativo, perché molte applicazioni SaaS legittime usano Let's Encrypt. La chiave è il contesto: un certificato DV diventa sospetto solo in combinazione con altri indicatori (dominio giovane, bassa reputazione IP, pattern di beaconing nel traffico).

L'analisi forense di T1588.004 si sviluppa su due assi: le fonti esterne che documentano il ciclo di vita del certificato e gli artefatti endpoint che emergono quando quel certificato entra in contatto con la rete vittima.

Le fonti esterne sono il punto di partenza obbligato. I log Certificate Transparency, interrogabili tramite crt.sh (gratuito), restituiscono la data esatta di emissione di qualsiasi certificato pubblico, la CA emittente e i Subject Alternative Names. Nella campagna C0043 — Indian Critical Infrastructure Intrusions, i certificati spoofavano Microsoft: una query CT per certificati contenenti stringhe simili a "microsoft" emessi da CA insolite avrebbe rivelato la creazione dell'infrastruttura offensiva prima ancora dell'intrusione.

Per la campagna C0006 — Operation Honeybee, dove gli attori rubarono una firma digitale di Adobe Systems per il dropper MaoCheng, l'artefatto chiave è la firma Authenticode del binario. Il comando:

sigcheck -i -e <percorso_eseguibile>

(Sigcheck è parte di Sysinternals, gratuito) rivela il certificato di firma, la catena di trust e lo stato di revoca. Un certificato Adobe valido su un eseguibile non distribuito tramite canali ufficiali Adobe è un indicatore forense inequivocabile.

Sul versante endpoint Windows, gli artefatti più rilevanti si concentrano nel certificate store. I certificati installati nel trust store macchina risiedono nel registro sotto HKLM\SOFTWARE\Microsoft\SystemCertificates. Una modifica a questa chiave genera un evento verificabile nella timeline del registro; tool come RegRipper (open source) permettono di estrarre timestamp di ultima modifica delle chiavi del certificate store da hive offline.

Per lo scenario UNC3886, in cui il certificato TLS legittimo della vittima viene estratto da un FortiGate compromesso, la timeline forense deve correlare i log di accesso all'appliance con il primo utilizzo del certificato su infrastruttura C2. Il certificato estratto avrà lo stesso serial number e la stessa impronta SHA-256 di quello legittimo: un confronto tra il fingerprint del certificato servito dal server C2 sospetto e quello dell'appliance vittima è la prova della relazione.

Nella campagna C0047 — RedDelta Modified PlugX Infection Chain Operations, Mustang Panda ha acquisito certificati Cloudflare Origin CA. Questo tipo di certificato è peculiare perché non è firmato da una CA pubblica presente nei trust store standard — è riconosciuto solo da Cloudflare. In fase forense, la presenza di connessioni TLS verso IP Cloudflare con certificati Origin CA su flussi che mostrano pattern di beaconing PlugX rappresenta un marker preciso. L'artefatto risiede nei log del proxy o nelle catture PCAP: il campo Issuer del certificato nel TLS handshake contiene "Cloudflare Origin CA".

Il panorama dei 7 gruppi che sfruttano T1588.004 rivela due approcci strategici distinti: l'acquisizione a basso costo per operazioni ad alto volume e il furto mirato per operazioni ad alta sofisticazione.

Silent Librarian (G0122) rappresenta il modello "economia di scala". Questo gruppo, focalizzato su credential harvesting accademico, utilizza certificati Let's Encrypt gratuiti per le proprie pagine di phishing. La scelta è coerente con il profilo operativo: campagne massive con decine di domini lookalike, dove il certificato DV serve esclusivamente a presentare il lucchetto verde nel browser. Il costo operativo è zero, la durata dell'infrastruttura è breve, la rotazione è rapida.

Sul fronte opposto, Sea Turtle (G1041) opera con la tecnica più sofisticata dell'intero dataset: la certificate impersonation. Ottenere un certificato firmato da una CA diversa per lo stesso dominio della vittima richiede il controllo del DNS del target, il che implica una compromissione pregressa dell'infrastruttura DNS. Questa catena — DNS hijacking → certificate impersonation → intercettazione traffico — colloca Sea Turtle tra gli attori con le capability più avanzate in ambito certificati.

Lazarus Group (G0032) e Mustang Panda (G0129) condividono l'uso di certificati SSL per domini C2, ma con differenze operative. Mustang Panda, nella campagna C0047 — RedDelta Modified PlugX Infection Chain Operations, ha scelto certificati Cloudflare Origin CA, sfruttando l'infrastruttura Cloudflare come layer di offuscamento per il traffico PlugX. Questo suggerisce un'evoluzione: dal semplice certificato DV verso l'integrazione con servizi CDN che aggiungono un ulteriore strato di anonimizzazione.

UNC3886 (G1048) introduce un paradigma diverso: non acquista né genera certificati, ma li estrae da dispositivi di rete compromessi. Il furto del certificato TLS legittimo da un FortiGate consente di impersonare perfettamente il dispositivo. Per il threat intel analyst, questo profilo è un indicatore di targeting specifico verso appliance di rete — un pattern emergente che coinvolge firewall, VPN concentrator e load balancer.

BlackTech (G0098) e LuminousMoth (G1014) operano nel dominio del code signing: utilizzano certificati digitali validi — rubati o ottenuti in modo fraudolento — per firmare malware e tool, spostando l'applicazione della tecnica dalla protezione del canale C2 all'evasione dei controlli endpoint. Entrambi i gruppi hanno legami con operazioni nell'area Asia-Pacifico, e il pattern di furto certificati per firma codice si allinea con campagne di spionaggio che puntano a lunga persistenza.

La campagna C0043 — Indian Critical Infrastructure Intrusions aggiunge una variante ulteriore: i certificati spoofavano Microsoft, combinando la fiducia nel brand con la fiducia crittografica del certificato stesso. Questa sovrapposizione fra social engineering e trust tecnico è una tendenza da monitorare.

Per il threat intelligence officer, il consiglio operativo è chiaro: integrare il monitoraggio CT nei propri workflow. Ogni certificato emesso per domini affini all'organizzazione, ogni cambio di CA per i propri partner, ogni certificato con Subject sospetto sono indicatori di pre-compromissione che anticipano di giorni o settimane l'attacco effettivo.

Framework MITRE ATT&CK v16 — T1588.004, TA0042. Campagne: C0043 (Indian Critical Infrastructure Intrusions), C0006 (Operation Honeybee), C0047 (RedDelta Modified PlugX Infection Chain Operations). Detection: log Certificate Transparency, Internet Scan. Integrato con conoscenza professionale per tool e procedure operative.