Backdoor nell'Identità Ibrida: Modify Authentication Process – Hybrid Identity (T1556.007)

La simulazione di questa tecnica richiede un ambiente lab con Active Directory, Entra ID Connect configurato in modalità PTA o AD FS, e un tenant Entra ID di test. Non eseguire mai queste procedure su infrastrutture di produzione senza autorizzazione scritta.

Scenario 1 — Backdoor PTA con AADInternals

Il tool AADInternals (open source, modulo PowerShell disponibile su PowerShell Gallery) è lo strumento di riferimento per questo scenario. Una volta ottenuto accesso amministrativo al server che ospita il PTA agent, la catena d'attacco prevede l'installazione del modulo e l'iniezione della DLL spia chiamata PTASpy. Da una sessione PowerShell elevata sul server PTA:

Install-Module AADInternals -Scope CurrentUser

Import-Module AADInternals

Install-AADIntPTASpy

Questo comando inietta la DLL PTASpy nel processo del PTA agent. Da quel momento, ogni tentativo di autenticazione verso Entra ID che transita per quel server viene autorizzato automaticamente — indipendentemente dalla password fornita — e le credenziali reali vengono registrate in chiaro. Per recuperare le credenziali raccolte:

Get-AADIntPTASpyLog

L'output mostrerà username e password di ogni utente che ha autenticato tramite quel PTA agent. In un red team engagement, questo dimostra come un singolo server compromesso possa diventare un proxy di raccolta credenziali per l'intero tenant.

Scenario 2 — Manipolazione AD FS

Se l'ambiente utilizza AD FS, il vettore alternativo prevede la modifica del file di configurazione Microsoft.IdentityServer.Servicehost.exe.config per caricare una DLL personalizzata nel processo del servizio. In laboratorio, si può creare una DLL .NET che implementa l'interfaccia di claims transformation e genera token SAML validi per qualsiasi UPN. Il file di configurazione si trova tipicamente sotto il percorso di installazione di AD FS e va modificato per aggiungere un riferimento assembly alla DLL malevola.

Scenario 3 — Registrazione PTA agent dal cloud

Con credenziali Global Administrator compromesse, è possibile registrare un nuovo PTA agent dal portale Entra ID. Questo scenario è particolarmente insidioso perché non richiede alcun accesso on-premises: l'attaccante installa un PTA agent su una macchina sotto il proprio controllo e lo registra nel tenant, ottenendo lo stesso risultato dei due scenari precedenti.

Per la verifica difensiva, al termine del test controllate la lista dei PTA agent registrati dal portale Entra ID e verificate l'integrità delle DLL nella directory di installazione di AD FS confrontando le firme digitali con quelle Microsoft.

Il monitoraggio di questa tecnica si sviluppa su due piani paralleli: l'endpoint on-premises dove risiedono i servizi ibridi e il piano cloud dove si manifestano gli effetti dell'autenticazione compromessa.

Detection endpoint — Sysmon e Security Log

Sul server PTA o AD FS, il segnale più forte è il caricamento di DLL non firmate da Microsoft all'interno di processi critici. Configurate Sysmon con una regola che catturi EventCode 7 (Image Loaded) per il processo AzureADConnectAuthenticationAgentService.exe e per Microsoft.IdentityServer.ServiceHost.exe. Ogni DLL caricata che non sia firmata Microsoft o che non risieda nelle directory standard dell'installazione è un indicatore ad alta priorità.

Correlate questi eventi con EventCode 1 (Process Create) per rilevare processi figli inattesi e con EventCode 13 (Registry Value Set) per modifiche alle chiavi di configurazione dei servizi ibridi. La finestra temporale di correlazione suggerita è di 5 minuti: un caricamento DLL anomalo seguito da un'autenticazione riuscita in Entra ID per un utente che non dovrebbe autenticare tramite quel server è un pattern ad altissima affidabilità.

Detection cloud — Sign-in e Audit Log

Dal lato Entra ID, i log critici sono azure:signinlogs e m365:unified. Concentratevi su tre scenari:

• Registrazione di nuovi PTA agent: ogni evento di tipo "Register connector" nel log di audit Entra ID dovrebbe generare un alert immediato, poiché in ambienti stabili i PTA agent cambiano raramente
• Modifiche alle policy di Conditional Access che disabilitano o allentano l'enforcement MFA per scenari ibridi
• Pattern di autenticazione anomali: un PTA agent che improvvisamente autentica con successo il 100% delle richieste, o che gestisce autenticazioni per utenti che normalmente usano un agent diverso

Detection IaaS e SaaS

Per ambienti federati con AWS, monitorate in CloudTrail le chiamate API relative alla modifica di federation trust e alla registrazione di identity provider SAML. Su piattaforme SaaS come Okta, tracciate modifiche ai certificati di firma SAML, agli endpoint di federazione e alle regole di claims issuance — qualsiasi alterazione di questi elementi al di fuori di una finestra di manutenzione programmata merita investigazione immediata.

Il tuning principale riguarda la definizione precisa dei ruoli autorizzati a gestire PTA agent e configurazioni AD FS: restringendo la lista whitelist si riduce drasticamente il rumore e ogni azione fuori lista diventa un alert ad alta confidenza.

L'analisi forense di una compromissione dell'identità ibrida richiede la raccolta coordinata di artefatti da almeno tre fonti: il server on-premises, il tenant cloud e i log di federazione.

Artefatti sul server PTA/AD FS

Il primo obiettivo è identificare la DLL malevola. Nella directory di installazione del PTA agent (tipicamente sotto Program Files\Microsoft Azure AD Connect Authentication Agent), enumerate tutte le DLL e verificate la firma digitale con PowerShell:

*Get-ChildItem -Path "" -Filter .dll | Get-AuthenticodeSignature

Le DLL catalog-signed potrebbero apparire come "not signed" nella proprietà file di Windows Explorer — usate sempre Get-AuthenticodeSignature o sigcheck di Sysinternals (gratuito) per una verifica accurata. Per AADInternals/PTASpy, la DLL iniettata si distingue perché non è firmata Microsoft e compare nei load event di Sysmon.

Per AD FS, esaminate il file Microsoft.IdentityServer.Servicehost.exe.config cercando riferimenti ad assembly non standard. Confrontate il file attuale con un backup noto o con l'hash di un'installazione pulita. Verificate anche la Global Assembly Cache (C:\Windows\Microsoft.NET\assembly) per DLL sospette caricate nel contesto AD FS.

Timeline dal registro eventi

Ricostruite la sequenza temporale incrociando gli eventi Sysmon con i Security log. Gli EventCode 7 mostrano il momento esatto del caricamento della DLL malevola. Gli EventCode 4624 (logon riuscito) immediatamente successivi su Entra ID, con autenticazione via PTA, indicano il primo utilizzo della backdoor. Se disponibili, i log del servizio AD FS (canale AD FS/Admin nell'Event Viewer) registrano ogni token emesso — un picco di token per UPN diversi in un breve lasso di tempo è un forte indicatore di compromissione.

Artefatti cloud

Dal tenant Entra ID, esportate i sign-in log e gli audit log per il periodo sospetto. Cercate autenticazioni PTA da IP o hostname non corrispondenti ai PTA agent legittimi. Se è stato registrato un nuovo PTA agent malevolo, l'audit log conterrà l'evento di registrazione con l'identità dell'amministratore compromesso e il timestamp esatto.

La correlazione tra il timestamp di registrazione del nuovo agent nel cloud e l'inizio delle autenticazioni anomale fornisce il punto di pivot centrale della timeline. Da lì, ricostruite lateralmente: quali account sono stati autenticati tramite il nuovo agent, a quali risorse hanno accesso, e quali azioni hanno compiuto nel tenant.

La compromissione dell'identità ibrida è una tecnica chirurgica, impiegata da attori con obiettivi strategici di lungo periodo e una profonda conoscenza delle architetture Microsoft enterprise.

APT29 — il gruppo di spionaggio attribuito a interessi russi — rappresenta l'esempio paradigmatico di utilizzo di questa tecnica. Il gruppo ha dimostrato la capacità di modificare il file di configurazione di AD FS (Microsoft.IdentityServer.Servicehost.exe.config) per caricare una DLL malevola nel processo del servizio di federazione. Questa modifica ha consentito ad APT29 di generare token di autenticazione validi per qualsiasi utente con uno specifico User Principal Name, ottenendo così accesso persistente a tutti i servizi federati con AD FS — incluse piattaforme cloud e SaaS. La scelta di AD FS come vettore è coerente con il profilo operativo del gruppo, che privilegia tecniche di accesso silenzioso e persistente rispetto a movimenti laterali rumorosi.

Sul piano degli strumenti, AADInternals è il tool pubblicamente disponibile che implementa in modo completo l'attacco al PTA agent tramite la DLL PTASpy. La sua esistenza come modulo PowerShell open source abbassa significativamente la barriera d'ingresso: attori meno sofisticati possono replicare la tecnica senza sviluppare tooling proprietario. Questo rende il monitoraggio dei PTA agent una priorità non solo per le organizzazioni nel mirino di APT statali, ma per qualsiasi ambiente enterprise con identità ibride.

Dal punto di vista dei pattern operativi, questa tecnica si colloca tipicamente nella fase post-compromissione iniziale. L'attaccante ha già ottenuto privilegi elevati on-premises (Domain Admin o equivalente) o ha compromesso un account Global Administrator nel cloud. La modifica dell'identità ibrida serve a consolidare la persistenza e a garantire il re-ingresso anche dopo che il vettore iniziale viene scoperto e rimediato. Per l'analista TI, questo significa che l'osservazione di indicatori legati a T1556.007 segnala quasi certamente una compromissione già avanzata e profonda.

La raccomandazione strategica è duplice: monitorare attivamente le registrazioni di PTA agent e le modifiche alle configurazioni AD FS come indicatori di compromissione avanzata, e contestualizzare ogni rilevamento nel quadro più ampio di una possibile campagna APT multi-fase, dove l'identità ibrida è il meccanismo di persistenza, non il punto d'ingresso.

Framework MITRE ATT&CK v16 — Tecnica T1556.007 (Modify Authentication Process: Hybrid Identity), tattiche TA0003, TA0005, TA0006. Gruppo G0016 (APT29), software S0677 (AADInternals). Mitigazioni M1026, M1032, M1047. Detection DET0293 con analytic AN0814, AN0815, AN0816, AN0817, AN0818. Integrato con conoscenza professionale per tool e procedure operative.