Furto Credenziali Windows: Windows Credential Manager (T1555.004)

L'enumerazione delle credenziali memorizzate può essere eseguita attraverso molteplici approcci. Il metodo più diretto utilizza l'eseguibile nativo Windows:

vaultcmd.exe /list

Questo comando elenca tutte le credenziali archiviate senza necessità di privilegi elevati. Per un approccio più sofisticato, PowerSploit offre moduli specializzati che automatizzano l'estrazione.

Gli attaccanti più esperti preferiscono l'accesso diretto ai file del Credential Manager. Le credenziali risiedono in:

%Systemdrive%\Users\[Username]\AppData\Local\Microsoft\Credentials\

Il file Policy.vpol contiene la chiave di decrittazione necessaria per accedere ai file .vcrd. Mimikatz rimane lo strumento di riferimento per questa operazione, integrando funzionalità specifiche per il parsing e la decrittazione automatica.

Un metodo alternativo sfrutta l'interfaccia grafica attraverso rundll32:

rundll32.exe keymgr.dll KRShowKeyMgr

Questa tecnica permette di creare backup delle credenziali che possono essere successivamente estratti. LaZagne automatizza questo processo, enumerando sistematicamente tutti i vault disponibili sul sistema.

Per simulazioni avanzate, l'API Windows CredEnumerateA può essere chiamata direttamente da codice personalizzato. Questo approccio, utilizzato dal malware Lizar, permette un controllo granulare sull'enumerazione evitando l'esecuzione di processi sospetti.

In laboratorio, combinate questi approcci per testare la resilienza dei controlli di sicurezza. Iniziate con vaultcmd per verificare la detection basica, poi escalate verso tool automatizzati come SILENTTRINITY che integra moduli specifici per l'estrazione di Windows Vault.

La detection efficace richiede correlazione tra molteplici indicatori comportamentali. Il monitoraggio deve focalizzarsi su tre vettori principali: esecuzione di processi, accesso ai file e chiamate API sospette.

Configurate alert per l'esecuzione di vaultcmd.exe da processi non standard. Questo binario viene raramente utilizzato in contesti legittimi, rendendo ogni esecuzione potenzialmente sospetta. Correlate con Sysmon Event ID 1 per catturare la command line completa.

L'accesso diretto ai file del Credential Manager genera pattern distintivi. Monitorate letture sui percorsi:

• %AppData%\Local\Microsoft\Credentials
• %AppData%\Local\Microsoft\Vault

Windows Security Event ID 4663 traccia questi accessi quando l'auditing oggetti è abilitato. La lettura sequenziale di file .vcrd seguita da Policy.vpol indica chiaramente un tentativo di estrazione.

Per rundll32.exe keymgr.dll, create regole che identifichino questa specifica combinazione di processo e DLL. L'esecuzione genera inoltre finestre GUI che possono essere rilevate attraverso API hooking o screenshot periodici nelle workstation critiche.

Wizard Spider ha dimostrato l'efficacia di cmdlet PowerShell come Invoke-WCMDump. Monitorate script PowerShell che accedono a namespace WMI relativi alle credenziali o che importano moduli di credential dumping.

Il tuning richiede baseline accurate degli account di servizio legittimi che accedono al Credential Manager. Escludete processi di backup autorizzati ma mantenete visibilità su orari e frequenze anomale. Un singolo utente che accede ripetutamente al vault in orari non lavorativi merita investigazione immediata.

L'analisi forense del Credential Manager richiede attenzione ai dettagli temporali e alla correlazione tra artefatti. Gli attaccanti lasciano tracce distintive che permettono di ricostruire l'intera sequenza di compromissione.

Iniziate dall'analisi dei Prefetch files per vaultcmd.exe e rundll32.exe. Questi artefatti forniscono timestamp precisi di esecuzione e possono rivelare pattern di accesso ripetuto. La presenza di prefetch per tool come Mimikatz conferma l'utilizzo di strumenti automatizzati.

I file del Credential Manager mantengono timestamp di modifica che indicano quando sono stati acceduti o modificati. Confrontate questi timestamp con:

• Event log di autenticazione (Event ID 4624/4625)
• Creazione di nuovi processi (Sysmon Event ID 1)
• Accessi di rete successivi utilizzando le credenziali rubate

OilRig durante la campagna Juicy Mix ha dimostrato come l'estrazione di credenziali preceda sempre movimenti laterali. Cercate correlazioni temporali tra l'accesso ai vault e successive autenticazioni NTLM/Kerberos su sistemi remoti.

L'analisi della memoria può rivelare credenziali in chiaro ancora presenti nei processi. Tool come ROKRAT mantengono le credenziali estratte in strutture dati identificabili prima dell'esfiltrazione.

Per casi complessi, ricostruite l'intera catena: compromissione iniziale → privilege escalation → credential access → lateral movement. I timestamp dei file .vcrd modificati spesso coincidono con l'inizio di attività malevole su altri sistemi della rete.

Turla rappresenta l'esempio paradigmatico di utilizzo sofisticato del Credential Manager. Questo gruppo integra l'estrazione di credenziali in campagne di lunga durata, utilizzandola come ponte per l'accesso a sistemi air-gapped attraverso credenziali condivise.

Stealth Falcon dimostra un approccio più mirato, focalizzandosi specificamente su credenziali di alto valore attraverso il loro malware custom. La selezione delle vittime suggerisce intelligence preventiva sui target prima dell'estrazione.

OilRig ha standardizzato l'uso di VALUEVAULT, indicando una maturità operativa che preferisce tool consolidati. Durante Juicy Mix, hanno dimostrato capacità di adattamento rapido quando i controlli di sicurezza bloccavano metodi tradizionali.

Wizard Spider rappresenta l'evoluzione verso l'automazione, integrando Invoke-WCMDump in playbook ransomware. Questa standardizzazione suggerisce che le credenziali del vault sono ora prerequisito standard per operazioni su larga scala.

I pattern geografici mostrano concentrazioni in Medio Oriente (OilRig) ed Europa dell'Est (Turla), con overlap significativo negli strumenti utilizzati. Mimikatz rimane denominatore comune, ma ogni gruppo sviluppa wrapper e automazioni proprietarie.

L'evoluzione tattica indica movimento verso:

• Integrazione con cobalt strike beacons per estrazione remota
• Targeting specifico di credenziali cloud memorizzate localmente
• Combinazione con tecniche di credential stuffing per massimizzare il valore estratto

Analisi basata su MITRE ATT&CK framework per T1555.004. Riferimenti alle campagne Juicy Mix (C0044) di OilRig documentate nel 2022. Approfondimenti su capacità di Turla, Wizard Spider e relativi toolset disponibili nelle rispettive pagine tecniche del framework.