Enumerazione Account di Dominio: Domain Account (T1087.002)

La simulazione di questa tecnica è tra le più immediate da eseguire in un engagement red team, perché si basa quasi interamente su binari e moduli nativi. Il punto di partenza classico è la riga di comando Windows con l'utility Net, lo stesso approccio documentato per gruppi come OilRig, Turla e MuddyWater.

Da una shell su un host domain-joined, la sequenza base è lineare:

net user /domain net group "Domain Admins" /domain net group "Exchange Trusted Subsystem" /domain

Questi tre comandi restituiscono rispettivamente l'elenco completo degli utenti di dominio, i membri del gruppo Domain Admins e gli account con privilegi sul sottosistema Exchange — esattamente la catena osservata nelle operazioni di OilRig e replicata da malware come Latrodectus e Brute Ratel C4.

Per una ricognizione più strutturata, il passaggio naturale è PowerShell con il modulo ActiveDirectory (preinstallato sui sistemi con RSAT):

Get-ADUser -Filter * -Properties MemberOf | Select-Object SamAccountName, MemberOf Get-ADGroupMember -Identity "Domain Admins" -Recursive

Questa è la stessa logica impiegata durante la SolarWinds Compromise (C0024), dove APT29 ha utilizzato proprio Get-ADUser e Get-ADGroupMember per mappare gli account di dominio.

Per chi vuole replicare un approccio LDAP diretto, simile a quello di Sandworm Team e IceApple, su Linux si può usare:

ldapsearch -x -H ldap://<DC-IP> -b "DC=lab,DC=local" "(objectClass=user)" sAMAccountName memberOf

Sul versante tool dedicati, BloodHound (open source) con il collector SharpHound rappresenta lo standard de facto per la mappatura dei percorsi di attacco AD. Il collettore si lancia con:

SharpHound.exe -c All -d lab.local

AdFind (gratuito), utilizzato da Mustang Panda, Lotus Blossom e BlackByte, è un altro strumento chiave:

AdFind.exe -f "(objectcategory=person)" -csv name sAMAccountName memberOf

Per scenari più offensivi, CrackMapExec (open source) permette di enumerare utenti di dominio autenticandosi con credenziali compromesse:

crackmapexec smb <DC-IP> -u utente -p password --users

Infine, per simulare l'export massivo di dati AD come documentato per menuPass e FIN7, il binario nativo csvde.exe è perfetto:

csvde -f export_utenti.csv -r "(objectClass=user)" -l "cn,sAMAccountName,memberOf"

Su macOS domain-joined, la ricognizione si effettua con dscacheutil -q group oppure tramite dscl /Active\ Directory/All\ Domains -list /Users, comandi che il SOC dovrebbe monitorare sugli endpoint Apple.

La sfida principale nel rilevare l'enumerazione di account di dominio è la sua natura intrinsecamente legittima: gli stessi comandi usati dagli attaccanti vengono eseguiti quotidianamente dagli amministratori IT. La chiave non è cercare il singolo comando, ma il contesto anomalo in cui viene eseguito.

Log source fondamentali. Su Windows, la tripletta essenziale è Sysmon (open source), PowerShell Script Block Logging e i Security Event Log del domain controller. Sysmon con EventID 1 (Process Creation) cattura ogni esecuzione di net.exe, net1.exe, dsquery.exe e csvde.exe con la command line completa. Abilita PowerShell Script Block Logging (EventID 4104) per intercettare l'uso di Get-ADUser, Get-ADGroupMember e query LDAP via .NET. Sul domain controller, l'EventID 4661 e l'EventID 4662 tracciano gli accessi agli oggetti AD, mentre l'EventID 4799 segnala l'enumerazione dei gruppi di sicurezza.

Su Linux, auditd è il pilastro. Configura regole per intercettare l'esecuzione di ldapsearch, wbinfo -u e getent passwd tramite audit di tipo SYSCALL su execve. Su macOS, il Unified Log cattura le invocazioni di dscl e dscacheutil — i comandi di enumerazione dei directory services.

Logica di detection comportamentale. L'alert più efficace non si basa sul singolo comando ma su pattern composti:

• Burst di enumerazione: tre o più comandi di tipo net user, net group, Get-ADUser eseguiti in una finestra di 5 minuti dallo stesso host
• Host sorgente anomalo: qualsiasi query AD proveniente da workstation non-admin o da endpoint che storicamente non generano traffico LDAP verso il DC
• Utente inatteso: service account o utenti standard che eseguono cmdlet del modulo ActiveDirectory o lanciano AdFind/BloodHound
• Volume LDAP anomalo: picchi di query LDAP (porta 389/636) rilevati dal network flow, specialmente con filtri ampi come (objectClass=user)

Gestione dei falsi positivi. Crea una whitelist basata su tre dimensioni: hostname sorgente (server di gestione, jump server), account utente (admin IT noti) e fascia oraria (orari lavorativi per operazioni pianificate). Qualsiasi combinazione fuori da questi parametri merita investigazione. In particolare, l'esecuzione di csvde.exe o AdFind.exe da endpoint non-IT è quasi sempre indicativa di attività malevola, dato che questi tool sono raramente usati al di fuori di operazioni amministrative pianificate.

Per la mitigazione preventiva, applica la policy GPO indicata nella mitigazione M1028: disabilita l'enumerazione degli account amministratore durante l'elevazione UAC impostando la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators a 0, configurabile tramite Computer Configuration > Administrative Templates > Windows Components > Credential User Interface.

L'enumerazione degli account di dominio lascia tracce distribuite tra endpoint sorgente e domain controller. La ricostruzione della timeline richiede di correlare artefatti da entrambi i lati, partendo dall'host compromesso per poi validare sul DC.

Artefatti endpoint Windows. Il punto di partenza è il Prefetch: i file NET.EXE-xxxxxxxx.pf e NET1.EXE-xxxxxxxx.pf nella directory C:\Windows\Prefetch registrano timestamp di ultima esecuzione e conteggio dei run. La presenza di ADFIND.EXE-xxxxxxxx.pf, CSVDE.EXE-xxxxxxxx.pf o SHARPHOUND.EXE-xxxxxxxx.pf è particolarmente significativa e si collega direttamente ai TTP di gruppi come Mustang Panda, FIN7 e Storm-0501.

L'AmCache (C:\Windows\appcompat\Programs\Amcache.hve) registra la prima esecuzione di binari, inclusi hash SHA1, path completo e timestamp. Per tool portabili come AdFind, spesso rilasciati senza installazione, l'AmCache potrebbe essere l'unica traccia di esistenza del file dopo una cancellazione. Il registro ShimCache (AppCompatCache) nel registro SYSTEM complementa questo dato con evidenze di esecuzione anche per binari successivamente rimossi.

Per le attività PowerShell, i log di Script Block Logging (EventID 4104) in Microsoft-Windows-PowerShell/Operational conservano il contenuto integrale degli script eseguiti. Cerca pattern come Get-ADUser, Get-ADGroupMember, [adsisearcher], e il nome degli script offuscati documentati — ad esempio lo script 3CF9.ps1 usato da FIN7 o l'obfs.ps1 / recon.ps1 di Storm-0501 (versione offuscata di ADRecon).

Artefatti domain controller. Sul DC, l'EventID 4662 nel Security Log documenta ogni accesso a oggetti Active Directory, incluso l'account che ha effettuato la query e il tipo di operazione. L'EventID 4624 (Logon Type 3 — Network) correla la sessione di rete dall'host sorgente. Se l'attaccante ha usato NTDSGRAB (come documentato per FIN6), cerca tracce di accesso al file ntds.dit e attivazioni di Volume Shadow Copy (EventID 7036 per il servizio VSS).

Artefatti Linux e macOS. Su sistemi Linux domain-joined, i log di auditd conservano i record SYSCALL per le esecuzioni di ldapsearch, con argomenti completi inclusi filtri LDAP e base DN. Su macOS, il Unified Log registra le chiamate a dscacheutil e dscl con i parametri — cerca la subsystem com.apple.opendirectoryd.

Costruzione della timeline. L'approccio pratico prevede l'estrazione degli artefatti con tool come KAPE (gratuito) per Windows e la normalizzazione dei timestamp con plaso/log2timeline (open source). Ordina gli eventi in sequenza: primo accesso (logon event) → esecuzione tool di enumerazione (Prefetch/Sysmon) → query AD sul DC (EventID 4662) → eventuali movimenti laterali successivi. Il delta temporale tra enumerazione e lateral movement è spesso inferiore a 30 minuti nelle campagne documentate, indicando playbook automatizzati.

Con 27 gruppi documentati, T1087.002 è una delle tecniche di Discovery più universalmente adottate. Analizzando i profili, emergono pattern geografici, settoriali e di tooling che permettono di distinguere cluster operativi e anticipare le catene d'attacco successive.

Volt Typhoon (G1017) rappresenta il paradigma living-off-the-land: utilizza esclusivamente comandi nativi come net group /dom e net group "Domain Admins" /dom, senza mai introdurre tool esterni. Questo approccio, coerente con la sua missione di pre-posizionamento su infrastrutture critiche, rende la fase di discovery quasi invisibile ai controlli basati su firma. Quando si osserva enumerazione AD esclusivamente tramite comandi Net su infrastrutture energetiche o di telecomunicazione, il profilo Volt Typhoon dovrebbe salire nella lista delle ipotesi.

APT41 (G0096) combina enumerazione nativa con tool specializzati. Durante l'Operation CuckooBees (C0012), gli operatori hanno usato dsquery e dsget per profilare gruppi amministrativi in ambienti manifatturieri e tecnologici tra Europa occidentale e Nord America. Il pattern tipico di APT41 prevede la discovery AD come precursore diretto dell'esfiltrazione di proprietà intellettuale — brevetti, codice sorgente, documenti R&D.

Wizard Spider (G0102), sul versante ransomware, segue un playbook più aggressivo: net group "Domain admins" /DOMAIN combinato con Get-ADComputer per mappare sia gli account privilegiati sia le macchine associate. La discovery di dominio in ambiente Wizard Spider è tipicamente seguita da deployment di Cobalt Strike o Bazar per il movimento laterale e, infine, cifratura con ransomware. Lo stesso pattern si riscontra in INC Ransom (G1032) e BlackByte (G1043), che prediligono AdFind per la ricognizione iniziale.

Il cluster iraniano mostra una coerenza tattica notevole: OilRig (G0049), MuddyWater (G0069) e Fox Kitten (G0117) condividono l'uso di net user /domain come prima mossa di discovery, con Fox Kitten che si distingue per l'impiego del browser LDAP Softerra — un approccio più manuale che suggerisce operatori interattivi piuttosto che playbook automatizzati.

La SolarWinds Compromise (C0024) e l'Operation Dream Job (C0022) dimostrano come anche gli operatori più sofisticati — rispettivamente attribuiti ad APT29 e Lazarus Group — considerino l'enumerazione AD un passaggio obbligato. APT29 ha preferito i cmdlet PowerShell, mentre Lazarus ha interrogato direttamente i server Active Directory per ottenere liste di dipendenti con privilegi amministrativi.

Dal punto di vista del tool overlap, AdFind emerge come denominatore comune tra gruppi altrimenti non correlati: Mustang Panda, Lotus Blossom, BlackByte e RedCurl (attraverso AD Explorer di SysInternals) lo impiegano tutti per la fase iniziale di profilazione del dominio. La presenza di AdFind in un'intrusione non è quindi attributiva di per sé, ma il contesto verticale e geografico della vittima aiuta a restringere il campo.

Framework MITRE ATT&CK v16 — T1087.002 Domain Account, TA0007 Discovery. Campagne: C0024 (SolarWinds Compromise), C0012 (Operation CuckooBees), C0014 (Operation Wocao), C0022 (Operation Dream Job). Detection: Sysmon, auditd, PowerShell Script Block Logging, macOS Unified Log. Mitigazione: M1028 (Operating System Configuration). Integrato con conoscenza professionale per tool e procedure operative.