Account di Dominio come Arma: Valid Accounts – Domain Accounts (T1078.002)

La simulazione dell'abuso di account di dominio è un pilastro di qualsiasi assessment Active Directory. L'obiettivo non è solo ottenere credenziali, ma dimostrare l'intera catena: dall'acquisizione alla movimentazione laterale con account legittimi.

Fase 1 — Enumerazione degli account privilegiati. Il primo passo è mappare chi conta nel dominio. BloodHound (open source) resta lo standard per visualizzare i percorsi di attacco AD. Dopo aver raccolto i dati con SharpHound, cerca i percorsi più brevi verso Domain Admin e gli account con sessioni attive su macchine raggiungibili. Su Linux, con NetExec (open source, successore di CrackMapExec), puoi enumerare rapidamente gli utenti di dominio:

netexec smb -u -p --users

Per identificare gli account con privilegi Domain Admin:

netexec smb -u -p --groups "Domain Admins"

Fase 2 — Acquisizione delle credenziali. In un contesto dove hai già un primo foothold, il dump di LSASS tramite Mimikatz (open source) è il percorso classico:

sekurlsa::logonpasswords

Per un approccio meno rumoroso, puoi usare il task manager nativo di Windows per creare un dump del processo LSASS e analizzarlo offline. Su sistemi dove hai accesso a un Domain Controller, l'estrazione di NTDS.dit con la funzionalità Volume Shadow Copy integrata nel sistema operativo consente il recupero massivo degli hash:

ntdsutil "activate instance ntds" "ifm" "create full C:\temp\ntds_dump" quit quit

Il file risultante si analizza poi con secretsdump.py dalla suite Impacket (open source):

secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

Fase 3 — Uso delle credenziali per movimento laterale. Qui si dimostra l'impatto reale. Con Impacket puoi eseguire comandi remoti autenticandoti con hash NTLM (pass-the-hash) o con credenziali in chiaro:

psexec.py /@ -hashes LM:NT

Con NetExec puoi verificare la validità delle credenziali su più host simultaneamente e, se l'account è amministratore locale, eseguire comandi:

netexec smb /24 -u -p --exec-method smbexec -x "whoami"

Nota lab-safe: in ambiente di test, isola il dominio e usa credenziali create ad hoc. Documenta ogni hash e credenziale raccolta per il report, dimostrando quanti sistemi erano raggiungibili con un singolo account Domain Admin.

Il cuore della detection per questa tecnica non è cercare un singolo evento, ma correlare pattern comportamentali anomali sulle autenticazioni di dominio. Un Domain Admin che accede a un file server alle tre di notte da un IP mai visto è un segnale; lo stesso accesso alle dieci di mattina dal suo desktop abituale è rumore.

Log source primari. Su Windows, i log Security sono il fondamento. L'evento EventCode 4624 (logon riuscito) va filtrato per Logon Type: il Type 3 (network) è il più comune nel movimento laterale, il Type 10 (RemoteInteractive/RDP) segnala accesso diretto. L'evento EventCode 4672 registra l'assegnazione di privilegi speciali — ogni volta che un account con privilegi Domain Admin si autentica, questo evento deve comparire. Correla i due: un 4624 Type 3 seguito da 4672 su un host dove quell'account non ha mai effettuato logon merita investigazione.

Con Sysmon (open source, richiede installazione e configurazione) attivo, l'EventCode 1 (Process Create) cattura i processi lanciati nel contesto dell'account compromesso, e l'EventCode 3 (Network Connection) mappa le connessioni laterali originate dalla sessione sospetta.

Su Linux, per i sistemi uniti al dominio via SSSD o Winbind, il log di auditd con le syscall execve e connect traccia l'attività degli account di dominio. Configura regole auditd per monitorare le autenticazioni su sistemi ad alto valore:

-w /var/log/sssd/ -p wa -k domain_auth

Su ESXi, i log vpxd e hostd registrano i login con account di dominio all'interfaccia vSphere. Prioritizza gli alert su account con membership in gruppi privilegiati e distingui tra accesso UI, API e SSH.

Riduzione dei falsi positivi. Il tuning è tutto. Tre criteri chiave vanno implementati simultaneamente: finestre temporali (definisci orari lavorativi standard per ogni unità organizzativa), contesto utente (crea una whitelist dinamica degli host abituali per ciascun account Domain Admin), e tipo di logon (un service account che improvvisamente genera logon interattivi è anomalo). Su macOS, i log Unified Log catturano le autenticazioni via Open Directory — filtra per accessi SSH con account di dominio su endpoint dove il profilo non prevede accesso remoto.

Una regola SIEM efficace correla: account nel gruppo Domain Admins + logon Type 3 + host di destinazione non presente nella baseline degli ultimi 30 giorni. Questo singolo alert, ben calibrato, avrebbe rilevato pattern analoghi a quelli osservati in molteplici campagne documentate.

La ricostruzione forense dell'abuso di account di dominio si basa sulla correlazione tra artefatti di autenticazione distribuiti su più host. L'attaccante lascia tracce sia sulla macchina sorgente sia su ogni destinazione raggiunta — il tuo compito è ricostruire la mappa dei movimenti.

Artefatti Windows — Autenticazione. Il punto di partenza è il Security Event Log su ogni host coinvolto. L'evento EventCode 4624 fornisce l'account utilizzato, il dominio, l'IP sorgente e il tipo di logon. Per costruire una timeline efficace, estrai tutti i 4624 con Logon Type 3 e 10 dagli host sospetti e ordinali cronologicamente. L'evento EventCode 4648 (logon con credenziali esplicite) è particolarmente prezioso: registra quando un processo usa credenziali diverse da quelle della sessione corrente, tipico di strumenti come PsExec o Impacket.

Sul Domain Controller, l'evento EventCode 4776 (validazione credenziali NTLM) e EventCode 4768/4769 (richieste Kerberos TGT/TGS) permettono di ricostruire centralmente chi si è autenticato, quando e verso quali servizi. Esporta questi eventi con wevtutil:

wevtutil epl Security C:\forensics\dc_security.evtx /q:"[System[(EventID=4776 or EventID=4768 or EventID=4769)]]"*

Artefatti Windows — Sessione e persistenza. I registry hive contengono tracce complementari. Il profilo dell'utente in NTUSER.DAT registra gli artefatti di sessione: MRU, applicazioni eseguite, chiavi Run. Se l'attaccante ha usato un account Domain Admin per montare share di rete (come documentato in alcune campagne), le connessioni recenti appaiono sotto la chiave MountPoints2. La ShimCache (AppCompatCache) nel registry SYSTEM registra i binari eseguiti, anche se il relativo prefetch è stato cancellato.

Artefatti Linux. Su sistemi uniti al dominio, i log di SSSD (tipicamente sotto /var/log/sssd/) registrano le autenticazioni con account di dominio. Il file /var/log/auth.log (Debian/Ubuntu) o /var/log/secure (RHEL/CentOS) contiene i record PAM delle sessioni. Usa ausearch per filtrare le autenticazioni rilevanti nei log di auditd:

ausearch -m USER_AUTH -ts recent

Correlazione con le campagne. La SolarWinds Compromise (C0024) offre un caso studio esemplare: APT29 utilizzò account Domain Admin per muoversi lateralmente, lasciando tracce distribuite su decine di host. La ricostruzione richiese la correlazione dei log di autenticazione Kerberos sui Domain Controller con gli artefatti di esecuzione sui sistemi target. Un pattern analogo si osserva nella Operation CuckooBees (C0012) e nella Operation Ghost (C0023), dove le credenziali di amministratore di dominio furono il veicolo primario per il movimento laterale.

Costruisci la timeline su tre livelli: eventi di autenticazione sul DC (vista centralizzata), artefatti di logon sugli endpoint (vista locale), ed esecuzione di processi/comandi (vista operativa). La sovrapposizione temporale tra questi tre strati rivela la sequenza esatta dei movimenti dell'attaccante.

L'abuso di account di dominio è una tecnica democratica: la impiegano gruppi sponsorizzati da stati, operatori ransomware e attori a scopo finanziario. Ma le modalità di acquisizione e utilizzo delle credenziali variano significativamente e costituiscono indicatori attributivi preziosi.

Volt Typhoon (G1017) rappresenta il paradigma del living-off-the-land applicato alle credenziali di dominio. Questo gruppo di presunta affiliazione cinese utilizza account di dominio compromessi per autenticarsi a dispositivi di rete nelle infrastrutture delle vittime, privilegiando strumenti nativi per evitare detection. La campagna Cutting Edge (C0029), condotta da attori China-nexus, mostra un pattern simile: sfruttamento di vulnerabilità zero-day su appliance VPN Ivanti come vettore iniziale, seguito dall'uso di account VPN compromessi per il movimento laterale. Questo approccio — exploit iniziale su perimetro + credenziali di dominio per pivot interno — è diventato un marchio di fabbrica delle operazioni di cyber spionaggio legate a Pechino.

Wizard Spider (G0102) e Sandworm Team (G0034) illustrano come attori con obiettivi diversi convergano sulla stessa tecnica. Wizard Spider, noto per le operazioni ransomware con Ryuk (S0446), sfrutta account Domain Admin per la distribuzione massiva del payload su tutta la rete — il classico "big game hunting". Sandworm Team, unità del GRU russo, utilizza credenziali amministrative rubate per accedere a infrastrutture critiche con finalità distruttive, come documentato nel contesto di operazioni contro l'Ucraina.

APT29 compare in due delle campagne più significative del dataset: la SolarWinds Compromise (C0024) e la Operation Ghost (C0023). In entrambi i casi, le credenziali di amministratore di dominio furono impiegate per il movimento laterale, ma con sofisticazione crescente — nella SolarWinds Compromise, l'acquisizione avvenne anche tramite token theft e API abuse, non solo credential dumping tradizionale. L'arco temporale della Operation Ghost (2013-2019) dimostra la persistenza operativa del gruppo.

Sul fronte dell'Asia-Pacifico, Naikon (G0019), APT5 (G1023) e Aquatic Panda (G0143) condividono l'uso di credenziali di dominio per muoversi lateralmente in ambienti compromessi, con focus su spionaggio industriale e governativo. La campagna Leviathan Australian Intrusions (C0049) conferma il pattern: sfruttamento di servizi esterni, seguito da cattura massiva di credenziali di dominio per escalation e movement.

Il trend emergente è chiaro: la Salesforce Data Exfiltration (C0059) mostra attori finanziariamente motivati che combinano vishing con abuso di credenziali di dominio, segnalando che questa tecnica non è più appannaggio esclusivo dello spionaggio statale. Per il threat modelling, qualsiasi organizzazione con Active Directory deve considerare l'abuso di Domain Accounts come scenario primario, indipendentemente dal proprio threat profile.

Framework MITRE ATT&CK — T1078.002 (Valid Accounts: Domain Accounts). Campagne: C0002, C0012, C0014, C0023, C0024, C0029, C0048, C0049, C0059. Tool di detection: Sysmon, auditd, wevtutil, SIEM correlation su EventCode 4624/4648/4672/4768/4769/4776. Integrato con conoscenza professionale per tool e procedure operative (Impacket, NetExec, BloodHound, Mimikatz).