Accesso Remoto Esterno: External Remote Services (T1133)

Il cuore di questa tecnica in un ingaggio red team non è la sofisticazione, ma la credibilità: dimostrare al cliente che un set di credenziali rubate apre la porta a tutta la rete. Il punto di partenza è l'enumerazione dei servizi esposti.

Con Nmap (open source) si esegue una scansione mirata sulle porte tipiche dei servizi remoti, concentrandosi su RDP, SSH, VPN SSL e interfacce di gestione container:

nmap -Pn -sV -p 22,443,993,3389,5900,8443,6443,10250 -oA external_services

La porta 6443 corrisponde all'API server Kubernetes, la 10250 al kubelet — entrambe bersagliate da gruppi come TeamTNT. Se il kubelet risponde senza autenticazione, il red teamer può interagire direttamente con i pod usando kubectl (open source):

kubectl --insecure-skip-tls-verify --server=:10250 get pods --all-namespaces

Per le API Docker esposte, un semplice comando curl verifica se il daemon è raggiungibile:

curl -s :2375/version

Se la risposta contiene la versione del motore Docker, l'ambiente è completamente aperto, esattamente lo scenario sfruttato dal malware Kinsing e Doki.

Sul fronte VPN e RDP, la simulazione più realistica usa credenziali ottenute in una fase precedente (OSINT, phishing simulato, database di leak). Con Hydra (open source) si può tentare un brute force controllato contro SSH:

hydra -L users.txt -P passwords.txt -t 4 -W 5 ssh://

Il flag -t 4 limita i thread paralleli e -W 5 introduce un ritardo di 5 secondi tra i tentativi, simulando un attaccante prudente che vuole evitare lockout.

Per replicare la componente ShadowLink descritta nella tecnica — ovvero l'installazione di un servizio Tor nascosto che espone RDP attraverso un indirizzo .onion — il red teamer può configurare un hidden service in laboratorio editando il file torrc e mappando la porta 3389 locale. Questo dimostra come un attaccante possa creare un canale di persistenza completamente scollegato dalla rete aziendale tradizionale, raggiungibile solo via rete Tor.

Infine, per documentare l'abuso di WinRM come canale di backup — tecnica usata nella campagna Operation CuckooBees — si può abilitare il listener HTTPS con il comando:

cscript //nologo "C:\Windows\System32\winrm.vbs" set winrm/config/service@{EnableCompatibilityHttpsListener="true"}

Il deliverable per il cliente deve enfatizzare due aspetti: la facilità con cui credenziali valide trasformano un servizio legittimo in un vettore d'attacco, e l'insufficienza della sola autenticazione single-factor come controllo.

La sfida di questa tecnica per un analista SOC è il rapporto segnale-rumore: le connessioni VPN e RDP sono traffico quotidiano. Il trucco è non cercare la connessione singola, ma la catena comportamentale che la segue.

Su Windows, la detection chain parte dai log di autenticazione. L'EventCode 4625 (failed logon) con Logon Type 10 (RDP) o Type 3 (network/VPN) va correlato con un successivo EventCode 4624 (successful logon) dallo stesso IP sorgente entro una finestra di 15 minuti. Se il rapporto tra tentativi falliti e successo supera una soglia (ad esempio 5:1), si alza il livello di attenzione. L'alert diventa critico quando il login riuscito proviene da una geolocalizzazione non presente nella whitelist aziendale o avviene fuori orario lavorativo.

La catena va completata con l'analisi Sysmon: un EventCode 3 (network connection) in uscita dal processo che ha stabilito la sessione remota verso porte interne (445, 135, 5985) indica possibile lateral movement — il vero indicatore che distingue un accesso legittimo da uno malevolo.

Su Linux, i log critici sono quelli di auditd e del journal. I tentativi SSH falliti generano record con type=USER_AUTH e res=failed; la correlazione con un accesso riuscito dallo stesso IP va combinata con l'analisi dei flussi di rete (NetFlow o Zeek) per identificare sessioni SCP/SFTP successive che potrebbero indicare esfiltrazione.

Per gli ambienti containerizzati, l'audit log di Kubernetes è la fonte primaria. Richieste API da IP esterni non presenti nei CIDR autorizzati, seguite da eventi di creazione o avvio container, rappresentano la catena che ha permesso a Hildegard di compromettere ambienti attraverso kubelet non autenticati.

I parametri di tuning fondamentali da personalizzare per ogni organizzazione sono:

• KnownRemoteIPs: lista degli endpoint VPN e degli IP di uscita dei dipendenti remoti
• BusinessHours: finestra oraria normale, con tolleranza per fusi orari dei viaggiatori
• GeoIPWhitelist: paesi da cui ci si aspetta traffico legittimo
• FailedLogonThreshold: soglia di tentativi falliti (tipicamente 5-10, da calibrare sul volume)

Per abbattere i falsi positivi, è essenziale integrare un feed di asset inventory aggiornato: se il SOC sa che l'utente X è in viaggio a Singapore, un login VPN da quell'area diventa atteso. Senza contesto, lo stesso evento genera un alert inutile. Strumenti come Wazuh (open source) o Elastic SIEM (freemium) permettono di costruire queste correlazioni con regole personalizzate.

Quando un incident response coinvolge l'abuso di servizi remoti, la ricostruzione della timeline parte dall'esterno — i log del gateway — e procede verso l'interno, gli artefatti endpoint.

Il primo elemento da acquisire sono i log del concentratore VPN o del gateway RDP. Questi registrano IP sorgente, timestamp, durata della sessione, identità dell'utente e, in molti casi, il certificato client presentato. Se l'organizzazione usa Citrix NetScaler, i log di accesso contengono anche il device fingerprint. La correlazione tra queste sessioni e l'orario di lavoro effettivo dell'utente legittimo è spesso il primo indicatore di compromissione: due sessioni contemporanee dallo stesso account, da geolocalizzazioni diverse, sono quasi certamente anomale.

Su Windows, gli artefatti chiave si trovano nei log Security. L'EventCode 4624 con Logon Type 10 (RemoteInteractive) documenta le sessioni RDP; il campo Source Network Address rivela l'IP dell'attaccante, che potrebbe essere un nodo VPN o direttamente un IP esterno. Per le sessioni WinRM, l'EventCode 4624 con Logon Type 3 va correlato con i log del servizio WinRM stesso nel canale Microsoft-Windows-WinRM/Operational. La campagna Operation CuckooBees ha dimostrato come gli attaccanti abilitino WinRM over HTTPS come meccanismo di backup, quindi è opportuno verificare il registro di sistema alla chiave relativa alla configurazione WinRM per individuare modifiche.

I file NTUSER.DAT degli utenti compromessi contengono nelle chiavi MRU (Most Recently Used) tracce delle connessioni Remote Desktop — i file .rdp recenti usati per connettersi a host interni, che documentano il percorso di lateral movement.

Su Linux, il file /var/log/auth.log (o /var/log/secure su distribuzioni Red Hat) registra ogni sessione SSH con IP sorgente e chiave pubblica utilizzata. Se l'attaccante ha installato un client SSH modificato — come il Dropbear con password hardcoded usato da Sandworm Team durante l'attacco alla rete elettrica ucraina del 2015 — l'analisi del binario rivelerà differenze rispetto alla versione ufficiale: hash non corrispondente, stringhe embedded anomale, o una backdoor password compilata nel codice.

Per gli ambienti containerizzati, i log dell'API Docker (recuperabili dal journal di systemd con journalctl -u docker) documentano le chiamate API che hanno portato alla creazione di container malevoli. Nel caso di Kubernetes, l'audit log registra ogni interazione con l'API server, inclusi i tentativi di accesso al kubelet.

Un artefatto spesso trascurato è il traffico Tor. Se l'attaccante ha usato ShadowLink per creare un hidden service, sul filesystem si troveranno i file di configurazione Tor (torrc), la directory dei dati del servizio nascosto con la chiave privata e l'hostname .onion, e il binario potenzialmente mascherato da applicazione Microsoft Defender — un pattern specificamente documentato per questa tecnica.

Con 26 gruppi che sfruttano T1133, questa tecnica è un vero crocevia del panorama threat. Analizzarla in profondità rivela pattern di targeting e cluster operativi ben distinti.

APT29 rappresenta l'archetipo dello sfruttamento VPN su scala strategica. Durante la SolarWinds Compromise (C0024, agosto 2019 – gennaio 2021), il gruppo ha usato identità compromesse per accedere via SSH e VPN alle reti delle vittime, combinando supply chain attack e abuso di servizi remoti in una delle operazioni più sofisticate mai documentate. L'attribuzione all'SVR russo conferma che l'accesso VPN con credenziali legittime è una componente centrale del playbook di Mosca per il cyber-spionaggio.

Sandworm Team mostra una variante più aggressiva: durante l'attacco alla rete elettrica ucraina del 2015 (C0028), il gruppo ha installato un client Dropbear SSH modificato con password backdoor per garantirsi persistenza sulle macchine target. Ma Sandworm ha anche sfruttato tunnel VPN installati nell'infrastruttura di aziende software legittime per raggiungere i loro clienti finali — una tecnica che fonde supply chain compromise e abuso di servizi remoti.

Scattered Spider (G1015) illustra il modello finanziariamente motivato. Durante la campagna C0027 (giugno – dicembre 2022), il gruppo ha colpito aziende di telecomunicazioni e BPO usando social engineering e SIM swapping per ottenere accesso iniziale, per poi persistere tramite Citrix, VPN e tool di remote management legittimi. Il profilo di Scattered Spider è unico: attori giovani, anglofoni, che combinano ingegneria sociale ad alta intensità con abuso di strumenti IT standard.

Sul fronte Asia-Pacifico, il cluster è denso. APT41 ha compromesso un servizio di pagamento online sfruttando l'accesso VPN di un fornitore terzo durante la Operation CuckooBees (C0012, dicembre 2019 – maggio 2022), campagna di cyber-spionaggio contro settori tecnologici e manifatturieri. Volt Typhoon (G1017) e Velvet Ant (G1047) condividono un pattern simile: accesso VPN a basso profilo, permanenza prolungata e obiettivi infrastrutturali critici. Ke3chang aggiunge una sfumatura: oltre alle credenziali compromesse, ha utilizzato certificati VPN rubati — un indicatore che suggerisce capacità di compromissione PKI.

Nell'ecosistema container, TeamTNT domina: il gruppo ha preso di mira API Docker esposte e kubelet Kubernetes non autenticati usando tool open-source come Weave Scope. I malware Kinsing, Doki e Hildegard operano nello stesso segmento, sfruttando daemon Docker aperti e kubelet esposti.

Il trend emergente è l'uso di ShadowLink per creare servizi Tor nascosti su macchine compromesse, trasformando il canale di persistenza in qualcosa di completamente invisibile al monitoraggio perimetrale tradizionale. Questo segnala un'evoluzione: dall'abuso di servizi remoti legittimi alla creazione di servizi remoti paralleli e cifrati, una progressione che richiede ai difensori di monitorare non solo gli accessi in ingresso, ma anche le connessioni in uscita verso la rete Tor.

Framework MITRE ATT&CK v16 — T1133 (External Remote Services). Campagne: C0012 (Operation CuckooBees), C0002 (Night Dragon), C0028 (2015 Ukraine Electric Power Attack), C0004 (CostaRicto), C0024 (SolarWinds Compromise), C0027, C0032, C0014 (Operation Wocao), C0046 (ArcaneDoor). Tool di detection: Wazuh, Elastic SIEM, Sysmon, Zeek, auditd. Integrato con conoscenza professionale per tool e procedure operative.