Intercettazione MFA: Multi-Factor Authentication Interception (T1111)

La simulazione di intercettazione MFA richiede un approccio multistrato che copra diversi vettori d'attacco. Iniziamo con l'intercettazione di smart card su Windows.

Per catturare PIN di smart card, utilizza API di sistema: SetWindowsHookEx(WH_KEYBOARD_LL, KeyboardProc, hMod, 0)

Questo hook intercetta tutti gli input da tastiera a livello di sistema. Quando rilevi l'inserimento di una smart card tramite eventi WMI, attiva la cattura del PIN associato.

Su Linux, l'accesso diretto ai dispositivi di input permette il keylogging: cat /dev/input/event0 | ./keylogger_parser

Alternativamente, puoi caricare un modulo kernel personalizzato: insmod keylogger.ko

Per l'intercettazione di token OTP basati su tempo, implementa un replay attack. Cattura il codice corrente e riutilizzalo entro la finestra temporale valida (tipicamente 30-60 secondi).

L'intercettazione SMS richiede tecniche più avanzate. LAPSUS$ ha dimostrato l'efficacia del MFA fatigue: bombarda l'utente con richieste di approvazione fino a quando non cede per stanchezza. Implementalo con script automatizzati che inviano richieste ripetute alle API di autenticazione.

Per simulare le tecniche di APT42, costruisci siti clone che catturano token MFA. Usa framework come Evilginx2 per proxy trasparente delle sessioni di autenticazione, intercettando sia credenziali che token 2FA in tempo reale.

La detection efficace richiede correlazione tra eventi apparentemente disconnessi. Monitora l'accesso anomalo alle API di input capture su Windows attraverso Sysmon.

Configura alert per: EventID 10 con TargetImage contenente processi di autenticazione e AccessMask 0x10

Questo identifica tentativi di lettura memoria da processi non autorizzati verso servizi di autenticazione.

Su Linux, monitora accessi a /dev/input da processi non interattivi: auditctl -w /dev/input -p r -k keyboard_access

Correla questi eventi con caricamenti di moduli kernel sospetti attraverso syslog.

Per macOS, sfrutta il Transparency, Consent, and Control (TCC) framework. Monitora richieste di accesso alle API di accessibilità tramite unified log: log stream --predicate 'subsystem == "com.apple.TCC"'

Un pattern critico da rilevare è la sequenza: accesso API input → modifica registry/configurazione → uso smart card remoto. Questa catena comportamentale, se avviene entro 5 minuti, indica probabilmente un tentativo di intercettazione.

Implementa whitelist per strumenti di accessibilità legittimi come Magnifier.exe, ma mantieni visibilità su nuovi processi che richiedono privilegi simili. La chiave sta nel bilanciare la riduzione dei falsi positivi mantenendo alta sensibilità per comportamenti anomali.

L'analisi forense di intercettazioni MFA richiede attenzione a molteplici artefatti distribuiti nel sistema. Su Windows, esamina le chiavi di registro per hook di tastiera persistenti.

Cerca in: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Identifica DLL caricate che implementano funzioni di keyboard hooking attraverso l'analisi dei prefetch files.

Gli event log di sicurezza (EventID 4648) mostrano autenticazioni con smart card anomale, specialmente se originate da processi non standard. Correla questi eventi con i log di accesso VPN per identificare possibili proxy di autenticazione.

Operation Wocao ha lasciato tracce distintive nei log di autenticazione. I threat actor hanno utilizzato metodi custom per intercettare soft token, visibili come anomalie nei pattern di autenticazione standard. Cerca timestamp ravvicinati di multiple autenticazioni fallite seguite da successo, indicativo di replay attack.

Per SLOWPULSE, l'analisi dei log Pulse Secure VPN rivela intercettazioni durante la procedura DSAuth::AceAuthServer::checkUsernamePassword. Esamina i file di log per entries anomale durante l'autenticazione ACE-2FA.

Su sistemi Linux, analizza /var/log/secure per sudo elevations sospette coincidenti con accessi a dispositivi di input. La presenza di moduli kernel non firmati in /lib/modules potrebbe indicare keylogger persistenti.

La ricostruzione temporale deve mappare: installazione malware → prima intercettazione → uso credenziali → movimento laterale.

Kimsuky utilizza tool proprietari per l'intercettazione OTP, indicando capacità di sviluppo interno avanzate. Questo gruppo nordcoreano tipicamente target organizzazioni governative e think tank, suggerendo che investimenti in MFA interception siano guidati da obiettivi di intelligence strategica.

Chimera adotta tattiche più sofisticate, registrando numeri di telefono alternativi per vittime compromesse. Questa tecnica richiede accesso a provider telefonici o account management systems, indicando possibili insider threat o compromissione della supply chain.

LAPSUS$ rappresenta un'evoluzione nelle tattiche: invece di intercettazione tecnica, sfrutta la fatica umana. Il gruppo bombarda vittime con prompt MFA fino all'approvazione accidentale. Questa tecnica social engineering indica shift da capacità tecniche pure verso manipulation psicologica.

APT42, affiliato iraniano, combina clonazione di siti web con intercettazione SMS. La creazione di infrastrutture phishing elaborate suggerisce operazioni a lungo termine con budget significativi. I loro target includono dissidenti e giornalisti, indicando motivazioni politiche.

Pattern emergenti mostrano convergenza verso tecniche ibride: combinazione di malware tradizionale con social engineering. La sovrapposizione di tool tra gruppi suggerisce possibile condivisione nel underground o sviluppatori comuni.

Prevedi evoluzione verso bypass di autenticatori hardware mediante supply chain compromise o attacchi a livello firmware. Monitora dark web per vendita di tool MFA bypass e correlazione con nuove campagne.

Tecnica documentata nel framework MITRE ATT&CK. Campagne Operation Wocao e Leviathan Australian Intrusions forniscono case study dettagliati. Detection strategies basate su analisi comportamentale multi-piattaforma per Windows, Linux e macOS.