Exploitation for Privilege Escalation: Sfruttare le Vulnerabilità per Scalare i Privilegi (T1068)

La simulazione di privilege escalation tramite exploit richiede un ambiente controllato e isolato. Per replicare scenari BYOVD su Windows, inizia identificando driver vulnerabili con certificati validi.

Il tool Empire offre moduli preconfigurati per testare MS16-032: Invoke-MS16032 -Command "cmd.exe". Cobalt Strike fornisce capacità simili attraverso il comando elevate ms14-058.

Su Linux, il testing può includere l'exploit DirtyPipe per kernel vulnerabili. Verifica la versione con uname -r e, se vulnerabile (5.8 - 5.16.10), utilizza PoC pubblici per ottenere root. Per simulare l'exploit di binari setuid, identifica target con find / -perm -4000 2>/dev/null.

Per ambienti containerizzati, BOtB (Break out the Box) permette di testare CVE-2019-5736. Deploy il container vulnerabile, esegui docker run --rm -it --privileged ubuntu:18.04 e lancia l'exploit per verificare l'escape.

La catena d'attacco tipica prevede: discovery dei target vulnerabili, preparazione dell'exploit, esecuzione con gestione degli errori, e persistenza post-exploitation. Documenta sempre EventID 4688 (creazione processi) e 4673 (uso privilegi) per validare il successo.

La detection efficace richiede correlazione multi-evento. Su Windows, monitora Sysmon EventID 6 per driver loads sospetti, correlando con EventID 4688 per processi figli anomali entro 60 secondi.

Implementa una watchlist di driver BYOVD noti: RTCore64.sys, VBoxDrv.sys, speedfan.sys. L'alert deve triggerare su: driver load da path non standard + processo figlio con token elevato + parent process non firmato Microsoft.

Per Linux, configura auditd per monitorare syscall critiche: -a always,exit -F arch=b64 -S setuid -S setgid -F auid!=4294967295. Correla con accessi a /proc/kallsyms o /dev/kmem entro la stessa sessione.

La detection comportamentale deve includere: spike di privilegi da UID non-root a root, moduli kernel caricati da path /tmp o /dev/shm, processi che acquisiscono capabilities CAP_SYS_ADMIN senza essere container runtime.

Riduci i falsi positivi escludendo: update manager legittimi, container runtime autorizzati, processi di sistema con hash whitelistati. Imposta severity alta per: exploit chain complete (driver + privilege + execution), zero-day indicators (nuovi driver vulnerabili), lateral movement post-exploitation.

L'analisi forense di privilege escalation richiede focus su artefatti kernel-level. Su Windows, esamina C:\Windows\System32\drivers per timestamp anomali e verifica firme digitali con sigcheck -v.

Il registro SYSTEM\CurrentControlSet\Services documenta driver installati. Cerca servizi con ImagePath verso directory writeable o con timestamp correlati all'incidente. I crash dump in C:\Windows\Minidump possono contenere tracce di exploitation fallite.

Per BYOVD, analizza: Prefetch files per execution history del driver loader, USN Journal per file creation timeline, WMI repository per persistence post-exploitation. La sequenza tipica mostra: dropper execution → driver write → service creation → privilege abuse.

Su Linux, /var/log/kern.log contiene tracce di module loading. Correla con auth.log per privilege changes. La directory /lib/modules potrebbe contenere moduli malevoli persistenti. Esamina /proc/kcore dump per modifiche kernel-level.

Timeline reconstruction deve mappare: initial compromise timestamp, vulnerability preparation phase, exploitation attempt (successful/failed), privilege usage pattern, lateral movement indicators. Documenta hash SHA256 di tutti i componenti per threat intelligence sharing.

APT28 dimostra capacità zero-day seriali, sfruttando CVE-2022-38028 per Windows privilege escalation. Il gruppo mantiene arsenali exploit aggiornati, targeting principalmente istituzioni governative NATO.

Scattered Spider utilizza BYOVD con focus su driver Intel (iqvw64.sys), indicando specializzazione in supply chain exploitation. La sovrapposizione con ransomware groups suggerisce monetizzazione dual-use.

UNC3886 ha dimostrato capacità cross-platform uniche con CVE-2023-20867, colpendo simultaneamente Windows, Linux e PhotonOS. Pattern geografico: targeting hypervisor in datacenter critici Asia-Pacific.

LAPSUS$ combina exploit di sistemi interni (JIRA, GitLab) con social engineering, indicando approccio ibrido human+technical. Previsione: aumento targeting DevOps infrastructure per supply chain access.

Trend emergenti includono: crescita BYOVD con certificati rubati da breach precedenti, exploit chain automatizzate in ransomware-as-a-service, targeting aumentato di virtualization layers. Intelligence sharing critico per: nuovi driver vulnerabili, zero-day in-the-wild, correlazione cross-victim di stessi exploit tools.

Framework MITRE ATT&CK per mappatura APT e tecniche. Campagne documentate: ShadowRay (CVE-2023-48022), Leviathan Australian Intrusions. Risorse detection: Sysmon per Windows driver monitoring, auditd per Linux privilege tracking.