Enumerazione Account di Dominio: Domain Account (T1087.002)

La simulazione dell'enumerazione richiede una progressione metodica attraverso diversi livelli di sofisticazione. Inizia con i comandi Windows classici che generano meno rumore:

net user /domain
net group "Domain Admins" /domain
net group "Enterprise Admins" /domain

Questi comandi base restituiscono liste immediate ma possono essere facilmente rilevati. Per un approccio più stealth, utilizza PowerShell con tecniche di offuscazione:

Get-ADUser -Filter * -Properties * | Select Name,SamAccountName,MemberOf
Get-ADGroupMember -Identity "Domain Admins" -Recursive

Su sistemi Linux integrati in dominio, ldapsearch offre capacità di query granulari:

ldapsearch -x -h dc.target.com -D "user@domain" -W -b "dc=target,dc=com" "(&(objectClass=user)(memberOf=CN=Domain Admins,CN=Users,DC=target,DC=com))"

Per ambienti macOS con binding Active Directory:

dscl "/Active Directory/DOMAIN/All Domains" -list /Users
dscacheutil -q group | grep -A 20 "Domain Admins"

La tool BloodHound automatizza questa raccolta creando una mappa visuale delle relazioni. Esegui SharpHound per la collezione:

.\SharpHound.exe -c All --zipfilename domain_enum.zip

AdFind rappresenta un'alternativa potente per query LDAP complesse:

AdFind.exe -f "(&(objectCategory=person)(objectClass=user))" -dn

Gli attaccanti avanzati combinano queste tecniche con living-off-the-land binaries. Csvde.exe, presente nativamente sui Domain Controller, permette export completi:

csvde -f domain_users.csv -r "(objectClass=user)"

Per ambienti ESXi, dove la gestione centralizzata spesso si appoggia ad Active Directory:

/usr/lib/vmware/likewise/bin/lw-enum-users --level 2

L'automazione tramite Empire o Cobalt Strike nasconde questi comandi in beacon criptati, rendendo la detection più complessa. Simula questo comportamento alternando tecniche e introducendo delay casuali tra le query.

La detection efficace richiede correlazione multi-sorgente e baseline comportamentali. Configura Sysmon per catturare Process Creation (Event ID 1) con focus su:

<ProcessCreate onmatch="include">
    <CommandLine condition="contains any">net user /domain;net group;Get-ADUser;ldapsearch</CommandLine>
</ProcessCreate>

Windows Security Log Event ID 4662 traccia l'accesso agli oggetti Directory Service. Monitora operazioni Read su objectClass=user con frequenza anomala:

EventID: 4662 AND AccessMask: 0x10 AND ObjectType: "bf967aba-0de6-11d0-a285-00aa003049e2"

Per PowerShell, abilita ScriptBlock Logging e cerca pattern di enumerazione:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-PowerShell/Operational'; ID=4104} |
Where-Object {$_.Message -match 'Get-AD(User|Group|Computer)|DirectorySearcher'}

Implementa detection behavior-based che identifichi burst di query LDAP. Con Splunk:

index=windows EventCode=1 (process_name="net.exe" OR process_name="powershell.exe")
| bin _time span=5m
| stats count by _time, user, process_name
| where count > 10

Network-based detection tramite Zeek monitora il traffico LDAP (porta 389/636):

event ldap_search_request(c: connection, msg: ldap::SearchRequest) {
    if (msg$filter == "(objectClass=user)" && c$id$orig_h !in domain_controllers)
        NOTICE([$note=Suspicious_LDAP_Enum, $conn=c]);
}

Configura Windows Event ID 4661 per tracciare Handle Request su oggetti SAM. Questo cattura tentativi di accesso diretto al database degli account.

Per ambienti Linux/macOS, monitora auditd per esecuzioni sospette:

-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/ldapsearch -k domain_enum

Implementa stack ranking degli account che eseguono query AD. Normal behavior include amministratori e service account specifici. Deviazioni indicano compromissione.

Correlare con authentication logs per identificare lateral movement post-enumerazione. Se un account enumera il dominio e poi autentica su nuovi sistemi entro 30 minuti, genera alert high-priority.

La ricostruzione forense dell'enumerazione richiede analisi multi-artefatto per identificare la progressione dell'attaccante. Inizia dal Windows Prefetch che conserva evidenze di esecuzione anche dopo cancellazione dei log:

C:\Windows\Prefetch\NET.EXE-*.pf
C:\Windows\Prefetch\POWERSHELL.EXE-*.pf
C:\Windows\Prefetch\ADFIND.EXE-*.pf

Analizza il timestamp di creazione e il run count per stabilire quando è iniziata l'enumerazione. PowerShell Transcription logs in $env:USERPROFILE\Documents\PowerShell\Transcripts\ contengono l'output completo dei comandi, inclusi risultati che l'attaccante potrebbe aver visto.

Windows Registry conserva tracce in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU per comandi eseguiti tramite Win+R. Cerca pattern come "net user /domain" che indicano enumerazione manuale.

Per ricostruire query LDAP, analizza i Domain Controller logs. Event ID 1644 (se abilitato) registra query LDAP costose:

Log Name: Directory Service
Event ID: 1644
Search Filter: (&(objectCategory=person)(objectClass=user))

Memory forensics con Volatility identifica processi che hanno caricato samlib.dll o wldap32.dll:

volatility -f memory.dmp windows.dlllist | grep -E "samlib|wldap32"

La timeline si arricchisce analizzando ShimCache che registra esecuzioni di binari:

AppCompatCacheParser.exe -f SYSTEM --csv timeline.csv

Cerca esecuzioni di csvde.exe, dsquery.exe o tool non standard come adfind.exe. La presenza di questi tool in directory temporanee suggerisce staging dell'attaccante.

Network forensics rivela query LDAP attraverso analisi PCAP. Wireshark filter:

ldap.protocolOp == 3 and ldap.filter contains "objectClass=user"

L'analisi dei risultati mostra quali account furono enumerati e potenzialmente targetizzati successivamente.

ESXi environments lasciano tracce in /var/log/hostd.log per query against directory services. Grep per pattern:

grep -i "EnumerateUsers\|QueryGroups" /var/log/hostd.log

Il profiling degli attaccanti attraverso i pattern di enumerazione rivela intenti e capacità operative. APT29 (Cozy Bear) dimostra sofisticazione superiore utilizzando Get-ADUser con filtri specifici durante SolarWinds, mirando solo ad account con attributi particolari come adminCount>0. Questo indica pre-planning e intelligence precedente sull'ambiente target.

Wizard Spider combina enumerazione con ransomware deployment, utilizzando Get-ADComputer per mappare l'infrastruttura prima di distribuire Ryuk. Il timing tra enumerazione e encryption è tipicamente 2-48 ore, offrendo una finestra di detection.

Pattern geografici emergono nell'approccio all'enumerazione. Gruppi cinesi come APT41 preferiscono tool GUI-based come AdFind, probabilmente per superare barriere linguistiche. Lazarus automatizza pesantemente, indicando operazioni su larga scala con risorse limitate.

MuddyWater mostra preferenza per PowerShell one-liners offuscati, suggerendo familiarità con ambienti Windows enterprise iraniani. La loro enumerazione include sempre Exchange groups, rivelando focus su email intelligence.

Tool overlap analysis rivela connessioni operative. FIN6 e FIN7 condividono uso di Metasploit NTDSGRAB post-enumerazione, suggerendo possibili shared resources o training. Entrambi monetizzano rapidamente, vendendo accessi entro 72 ore.

L'evoluzione delle TTP mostra adattamento alle difese. Post-2020, molti APT migrano da net.exe a WMI queries:

Get-WmiObject -Class Win32_UserAccount -Filter "Domain='TARGETDOMAIN'"

Questo evade detection basate su command-line monitoring basilari.

Predictive analysis basata su enumerazione osservata:

• Focus su "Domain Admins" → Prossimo step: Golden Ticket attack
• Enumerazione Exchange groups → Likely email collection via MailSniper
• Query su computer accounts → Preparazione per ransomware deployment
• Interest in trust relationships → Possibile forest hopping

La velocità di enumerazione indica anche maturità operativa. APT automatizzati completano domain enumeration in minuti, mentre attori meno sofisticati impiegano ore con approcci manuali.

Framework MITRE ATT&CK T1087.002 - Domain Account. Referenze alle campagne Operation CuckooBees (APT41/Winnti), Operation Dream Job (Lazarus), SolarWinds Compromise (APT29), Operation Wocao documentate attraverso l'analisi delle TTP osservate. Risorse per detection: Microsoft ATA documentation, Bloodhound detection guidance, SANS hunt team recommendations per LDAP monitoring.