Furto Credenziali dal Portachiavi: Credentials from Password Stores - Keychain (T1555.001)

Il comando principale per estrarre credenziali dal Keychain è sorprendentemente semplice. Su un sistema macOS compromesso, l'esecuzione di security dump-keychain -d ~/Library/Keychains/login.keychain-db richiederà la password dell'utente corrente ma restituirà l'intero contenuto del portachiavi in chiaro.

Per automatizzare l'estrazione senza interazione, strumenti come LaZagne e Empire implementano tecniche più sofisticate. Empire utilizza lo stesso comando security ma lo integra in moduli post-exploitation che gestiscono automaticamente prompt e parsing dell'output. LaZagne va oltre, supportando l'estrazione da tutti e tre i tipi di Keychain attraverso API native.

Un approccio alternativo sfrutta le API di sistema. Il malware Green Lambert dimostra l'efficacia di chiamate dirette come SecKeychainFindInternetPassword per targeting specifico di credenziali web. Questa tecnica risulta meno rumorosa rispetto al dump completo e può essere integrata in payload compilati che appaiono come applicazioni legittime.

Per simulazioni red team avanzate, considera l'implementazione di LightSpy. Questo malware esegue query in-memory tramite SecItemCopyMatching(), formatta i risultati in JSON e li prepara per l'esfiltrazione. L'approccio in-memory riduce gli indicatori forensi e bypassa molti controlli di sicurezza tradizionali.

Il testing dovrebbe includere scenari multi-keychain. Non limitarti al Login Keychain predefinito: /Library/Keychains/ contiene il System Keychain con credenziali di servizio critiche, mentre /Network/Library/Keychains/ può rivelare configurazioni di rete condivise.

La detection DET0396 rappresenta il punto di partenza per identificare accessi sospetti al Keychain. Questa regola monitora processi che invocano l'utility security o accedono direttamente ai database Keychain, correlando questi eventi con lineage di processo anomale.

I log unificati di macOS (macos:unifiedlog) catturano eventi critici da configurare nel SIEM. Focus principale: processi che eseguono /usr/bin/security con parametri dump-keychain, specialmente se il processo padre non è Terminal.app o uno script autorizzato. Contagious Interview tipicamente lancia questi comandi da processi con nomi generici per mascherare l'attività.

Il tuning richiede precisione per ridurre i falsi positivi. Whitelist applicazioni come Safari, Mail e 1Password che accedono legittimamente al Keychain. Imposta threshold di 3 tentativi falliti di sblocco prima di generare alert critici - questo cattura attacchi brute-force mantenendo tolleranza per errori utente.

Pattern comportamentali da monitorare includono accessi al Keychain fuori dall'orario lavorativo, dump massicci (>50 credenziali estratte), e correlazione con altri indicatori come connessioni C2 attive. MacMa e BeaverTail mostrano pattern distintivi: accesso rapido a multiple location di keychain seguito da compressione e staging dei dati.

L'integrazione con EDR migliora drasticamente l'efficacia. Configura policy che bloccano esecuzioni di security dump-keychain da processi non firmati o con reputation sconosciuta. Monitora API calls specifiche come SecKeychainItemCopyAttributesAndData utilizzate da Green Lambert per extraction mirata.

L'analisi forense del furto di credenziali dal Keychain richiede attenzione a molteplici artefatti. I file keychain stessi (~/Library/Keychains/login.keychain-db) contengono timestamp di ultimo accesso che, correlati con Unified Logs, permettono di ricostruire la sequenza temporale dell'attacco.

Gli artefatti di esecuzione command-line sono fondamentali. Il file .bash_history dell'utente compromesso può contenere comandi security eseguiti manualmente, mentre i log di sistema registrano invocazioni programmatiche. Calisto lascia tracce distintive: copia i file keychain in directory temporanee prima dell'esfiltrazione, creando artefatti nel filesystem che persistono anche dopo la rimozione del malware.

La memoria volatile contiene evidenze preziose. Process dump di applicazioni in esecuzione possono rivelare credenziali decrittate ancora presenti in memoria. iKitten mantiene in RAM le strutture dati contenenti password estratte per diversi minuti prima della trasmissione, offrendo una finestra per il recovery.

L'analisi di rete complementa la ricostruzione. Cuckoo Stealer comprime i file keychain prima dell'upload, creando pattern di traffico identificabili. Cerca trasferimenti di file con dimensioni corrispondenti ai keychain database (tipicamente 100KB-5MB) verso IP non categorizzati o domini registrati di recente.

Timeline reconstruction dovrebbe mappare: accesso iniziale → privilege escalation → keychain access → data staging → exfiltration. Proton segue questo pattern predicibile, facilitando la correlazione di eventi apparentemente disconnessi in una narrativa coerente dell'intrusione.

Contagious Interview rappresenta l'unico gruppo APT documentato per l'uso sistematico di questa tecnica. Il gruppo configura varianti malware specifiche per il dump del keychain macOS, suggerendo targeting mirato di ambienti enterprise con forte presenza Mac, tipicamente settori creativi, media e tecnologia.

L'overlap di tool rivela pattern interessanti. Empire, framework post-exploitation pubblico, viene utilizzato sia da red team legittimi che attori malevoli. La presenza di moduli Empire specifici per keychain dumping in un'intrusione non attribuita può indicare attaccanti con skill moderate che preferiscono tool pubblici a sviluppo custom.

Geograficamente, l'uso di keychain attack concentra in regioni con alta adozione macOS: Silicon Valley, hub creativi europei, e centri finanziari asiatici. La sincronizzazione iCloud introduce vettori aggiuntivi - credenziali estratte da un Mac compromesso possono garantire accesso a interi ecosistemi Apple aziendali.

Pattern evolutivi mostrano shift da tool pubblici verso malware custom. LightSpy rappresenta l'evoluzione: query in-memory sofisticate che evitano detection tradizionale. Prevedi che futuri attacchi integreranno machine learning per identificare e prioritizzare credenziali high-value nel keychain.

Indicatori per hunting proattivo includono: registrazione domini typosquatting di servizi macOS popolari, sviluppo di nuove varianti basate su BeaverTail, e campagne spear-phishing che targetizzano amministratori IT Mac. Il crescente valore delle credenziali cloud stored nel keychain garantisce continua evoluzione di queste tecniche.

Framework MITRE ATT&CK documenta questa tecnica con codice T1555.001. Analisi basata su telemetria di Contagious Interview e 10 famiglie malware. Detection rule DET0396 fornisce base per monitoring operativo. Risorse aggiuntive su Apple Developer Documentation per Keychain Services API.