Credenziali nelle Group Policy Preferences: Group Policy Preferences (T1552.006)

L'estrazione di credenziali GPP è uno dei quick win più efficaci in un engagement interno. Il flusso operativo è semplice: enumerare la share SYSVOL, individuare i file XML con attributo cpassword, decifrare la password. L'intera catena può completarsi in meno di un minuto dalla compromissione iniziale di un qualsiasi account di dominio.

Il primo passo è l'enumerazione. Da una shell su un host domain-joined, il comando nativo è sufficiente:

*dir \<DOMINIO>\SYSVOL<DOMINIO>\Policies\ /s /b .xml

Questo restituisce ricorsivamente tutti i file XML nelle policy. I file di interesse sono tipicamente Groups.xml, Services.xml, ScheduledTasks.xml, DataSources.xml, Drives.xml e Printers.xml. Cercate la stringa cpassword all'interno di ciascun file: se presente, contiene la password cifrata con la chiave AES nota.

Per la decifrazione automatizzata, lo strumento più diretto è Get-GPPPassword, disponibile come modulo di PowerSploit (open source, repository archiviato). Da una sessione PowerShell:

Get-GPPPassword

Il cmdlet enumera autonomamente SYSVOL, identifica i file XML con cpassword e restituisce in chiaro username, password, data di modifica e il path della GPO. Wizard Spider ha impiegato esattamente questo approccio con Get-GPPPassword e il complementare Find-GPOPassword per raccogliere credenziali in reti compromesse.

In Metasploit Framework (open source), dopo aver ottenuto una sessione Meterpreter su un host domain-joined:

use post/windows/gather/credentials/gpp set SESSION <id_sessione> run

Il modulo esegue la stessa logica: naviga SYSVOL, estrae e decifra le cpassword. È l'approccio usato anche in contesti di red team automatizzato.

Per ambienti dove si preferisce operare da Linux, lo script gpprefdecrypt.py (open source) accetta direttamente la stringa cpassword e restituisce la password in chiaro. Il flusso prevede di montare la share SYSVOL via SMB, copiare il file XML e poi eseguire:

python3 gpprefdecrypt.py "<stringa_cpassword>"

Un'alternativa integrata è SILENTTRINITY (open source), un framework C2 post-exploitation che include un modulo dedicato per l'estrazione delle password GPP cached. È utile in scenari dove il red team opera già attraverso un impianto SILENTTRINITY e vuole evitare di caricare tool aggiuntivi.

Come validazione, confrontate le credenziali estratte con gli account locali sulle macchine target usando CrackMapExec (open source) per verificare se le password sono ancora valide e su quali host funzionano.

La detection di questa tecnica si basa sulla correlazione tra due eventi distinti: l'accesso anomalo alla share SYSVOL e l'esecuzione di tool o script di decifrazione GPP. Singolarmente, ciascun evento può essere legittimo; combinati, rappresentano un indicatore ad alta confidenza.

Le log source fondamentali sono tre: Sysmon (EventLog Sysmon), Security EventLog e PowerShell Script Block Logging. Sysmon è particolarmente rilevante per catturare gli accessi ai file XML nella share SYSVOL — l'EventCode 11 (FileCreate) e l'EventCode 1 (ProcessCreate) forniscono la correlazione tra chi accede al file e quale processo lo elabora.

Sul piano della detection comportamentale, il pattern da intercettare è un processo non appartenente a un domain controller che accede a path del tipo \\<dominio>\SYSVOL\*\Policies\*\*.xml e successivamente esegue logica di decodifica. Sul Security EventLog, monitorate l'EventCode 5145 (accesso a share di rete) filtrando per il path SYSVOL e per account utente non amministrativi. Un accesso massivo a file XML da una workstation è altamente sospetto.

Per PowerShell, abilitate lo Script Block Logging (GPO: Administrative Templates → Windows Components → Windows PowerShell → Turn on PowerShell Script Block Logging). Cercate nei log EventCode 4104 le stringhe indicative: Get-GPPPassword, Find-GPOPassword, cpassword, gpprefdecrypt. Questi pattern coprono sia i tool usati da Wizard Spider che gli script pubblici.

Il tuning è critico per evitare falsi positivi. Le esclusioni principali riguardano:

• Account di domain controller: i DC accedono regolarmente a SYSVOL per la replica — escludete i computer account dei DC dal trigger.
• Account di gestione GPO: gli amministratori che modificano le policy generano accessi legittimi — create una whitelist basata su gruppi AD specifici.
• Finestre temporali: correlate l'accesso al file e l'esecuzione dello script entro una finestra di 5-10 minuti per ridurre il rumore.

Come controllo preventivo, l'azione più efficace è eliminare il problema alla radice: eseguite un audit periodico di SYSVOL per individuare file XML contenenti cpassword e rimuoveteli. La patch KB2962486 impedisce la creazione di nuove GPP con credenziali embedded, ma non elimina quelle preesistenti. Un semplice script PowerShell schedulato che cerchi la stringa cpassword nei file XML di SYSVOL e generi un alert è un controllo compensativo economico e robusto.

L'analisi forense di un'estrazione GPP ruota attorno a tre categorie di artefatti: accessi alla share SYSVOL, esecuzione di tool di decifrazione e utilizzo successivo delle credenziali ottenute.

Il punto di partenza è il Security EventLog del domain controller. L'EventCode 5145 registra ogni accesso a oggetti nella share di rete, incluso SYSVOL. Filtrate per ShareName contenente SYSVOL e RelativeTargetName che termina in .xml. L'account sorgente, l'IP del client e il timestamp vi danno il primo punto della timeline: chi ha letto i file XML e da dove.

Sul host sorgente (la macchina da cui l'attaccante ha operato), Sysmon offre artefatti complementari. L'EventCode 1 cattura la creazione del processo — cercate powershell.exe o python.exe con command line contenenti Get-GPPPassword, gpprefdecrypt, o riferimenti a path SYSVOL. L'EventCode 3 (NetworkConnect) può rivelare la connessione SMB verso il domain controller sulla porta 445.

Per ricostruire l'esecuzione PowerShell, i log di Script Block Logging (EventCode 4104) contengono il codice effettivamente eseguito. Se l'attaccante ha usato Get-GPPPassword o Find-GPOPassword — come documentato per Wizard Spider — il blocco di script sarà registrato integralmente, incluse le credenziali estratte in output.

Gli artefatti su disco includono i file XML eventualmente copiati localmente dalla share SYSVOL. Cercate nella directory temporanea dell'utente, nella cartella di download e nelle directory di lavoro dei framework offensivi. Per Metasploit, il modulo post/windows/gather/credentials/gpp salva i risultati nel database del framework — se l'attaccante operava da una macchina compromessa con Metasploit, i loot file si troveranno nella directory .msf4/loot/.

La Prefetch di Windows è un ulteriore indicatore. File come POWERSHELL.EXE-*.pf con timestamp coerente alla finestra dell'attacco confermano l'esecuzione. Analizzate il contenuto della Prefetch con strumenti come PECmd (open source, di Eric Zimmerman) per estrarre i file referenziati durante l'esecuzione — la presenza di path verso file .xml nella SYSVOL conferma la correlazione.

Infine, ricostruite il passo successivo: le credenziali GPP estratte vengono tipicamente usate per lateral movement. Cercate logon di tipo 3 (Network) o tipo 10 (Remote Interactive) con gli account locali le cui password erano nelle GPP. Il collegamento temporale tra l'accesso a SYSVOL e il primo utilizzo di queste credenziali chiude la catena evidenziale.

L'estrazione di credenziali GPP è una tecnica opportunistica, a basso costo operativo e alto rendimento. I due gruppi che la impiegano rappresentano profili di minaccia molto diversi, ma condividono la stessa logica: massimizzare la raccolta di credenziali valide nelle fasi iniziali post-compromissione.

APT33 (noto anche come Elfin, Refined Kitten) è un gruppo di matrice iraniana focalizzato su settori come aviazione, energia e petrolchimico. Il loro utilizzo di Gpppassword — tool pubblico per l'estrazione di credenziali GPP — si inserisce in un pattern più ampio di ricorso sistematico a strumenti open source e pubblicamente disponibili. Questo approccio riduce i costi di sviluppo e complica l'attribuzione, poiché gli stessi tool vengono usati da decine di attori diversi. Per l'analista TI, l'uso di GPP extraction da parte di APT33 è un indicatore di opportunismo tattico piuttosto che di sofisticazione tecnica: il gruppo cerca il percorso di minor resistenza verso credenziali valide.

Wizard Spider è un gruppo cybercriminale con un profilo operativo molto diverso. L'utilizzo di Get-GPPPassword e Find-GPOPassword rientra nella loro metodologia di raccolta credenziali massiva che precede tipicamente il deployment di ransomware. Per Wizard Spider, le credenziali GPP sono un acceleratore del lateral movement: ottenere password di account amministrativi locali condivisi su centinaia di endpoint consente di scalare l'accesso rapidamente verso i target di valore — domain controller, backup server, sistemi critici.

Il pattern comune tra i due gruppi è l'uso esclusivo di tool pubblici per questa tecnica. Né APT33 né Wizard Spider sviluppano strumenti custom per l'estrazione GPP, il che indica che il tooling disponibile è già perfettamente adeguato. I tool documentati — PowerSploit (open source) e SILENTTRINITY (open source) — sono entrambi framework post-exploitation che includono moduli GPP come funzionalità accessoria, non come capacità primaria.

Dal punto di vista predittivo, la presenza di file GPP con cpassword nella SYSVOL di un'organizzazione è un rischio quantificabile e immediato. Qualsiasi attore con accesso autenticato al dominio — sia esso un APT nation-state, un gruppo ransomware o un insider — può sfruttare questa debolezza. La raccomandazione strategica è trattare l'esistenza di credenziali GPP come una vulnerabilità nota con exploit pubblico, assegnandole priorità di remediation analoga a una CVE critica con PoC disponibile.

Framework MITRE ATT&CK v16: T1552.006, TA0006, G0064, G0102, S0692, S0194, M1047, M1051, M1015. Detection: DET0381/AN1075. Integrato con conoscenza professionale per tool e procedure operative.