Enumerazione degli Account Locali: Local Account Discovery (T1087.001)

L'enumerazione degli account locali è il punto di partenza di quasi ogni esercizio di post-exploitation. In un engagement red team, l'obiettivo è dimostrare quante informazioni un attaccante può raccogliere senza caricare nulla sul disco, utilizzando esclusivamente i tool nativi del sistema — la cosiddetta tecnica living-off-the-land.

Su Windows, la catena classica parte dal comando più semplice e scala verso output più strutturati. Inizia con il banale:

net user

Questo restituisce la lista completa degli account locali. Per identificare subito chi ha privilegi elevati, il passo successivo è naturale:

net localgroup administrators

Se vuoi un approccio più silenzioso rispetto ai log tradizionali, PowerShell offre cmdlet nativi che restituiscono oggetti strutturati:

Get-LocalUser | Select-Object Name, Enabled, LastLogon

Get-LocalGroupMember -Group "Administrators"

Per un esercizio più avanzato, puoi replicare l'approccio WMI, spesso usato da malware come Bazar e Valak per identificare account amministrativi senza invocare net.exe:

Get-WmiObject -Class Win32_UserAccount -Filter "LocalAccount=True"

Su Linux, l'enumerazione è ancora più diretta. Il file /etc/passwd è leggibile da qualsiasi utente per impostazione predefinita, e con un semplice filtro puoi isolare gli account interattivi:

awk -F: '$3 >= 1000 && $7 !~ /nologin|false/ {print $1}' /etc/passwd

I comandi id e groups completano il quadro mostrando appartenenze ai gruppi per l'utente corrente. Per enumerare chi fa parte del gruppo sudo:

getent group sudo

Su macOS, la catena riproduce il comportamento documentato per gruppi come APT32:

dscl . list /Users | grep -v '^_'

Il filtro rimuove gli account di sistema (prefissati con underscore), lasciando solo gli utenti reali. Il comando dscacheutil -q user fornisce dettagli aggiuntivi come la home directory e la shell di default.

Per gli ambienti ESXi, spesso trascurati nei pentest ma sempre più bersagliati, il comando è:

esxcli system account list

In un lab, BloodHound (open source) rappresenta lo standard per visualizzare le relazioni tra account locali e privilegi attraverso la rete. Anche PoshC2 (open source) e Empire (open source) includono moduli specifici per l'enumerazione locale. Se usi Pupy (open source), i moduli PowerView e Pywerview automatizzano l'intero ciclo di discovery.

La raccomandazione operativa: documenta sempre la sequenza temporale dei comandi eseguiti, perché il blue team dovrà correlarli per costruire le proprie regole di detection.

La sfida principale nella detection di questa tecnica è il rumore di fondo. Comandi come net user vengono eseguiti legittimamente da script di manutenzione, helpdesk e processi di provisioning. La chiave non è cercare il singolo comando, ma il contesto in cui avviene.

Su Windows, la sorgente primaria è Sysmon (open source, richiede installazione e configurazione). L'evento EventCode 1 (Process Creation) cattura ogni invocazione di net.exe, net1.exe e PowerShell con le relative command line. La regola deve filtrare per pattern specifici nella riga di comando: net user, net localgroup, Get-LocalUser, Get-LocalGroupMember. Ma il vero discriminante è il contesto utente — un account a basso privilegio o un utente di servizio che esegue enumerazione è molto più sospetto di un domain admin su una console di gestione.

Il tuning più efficace si basa su tre dimensioni simultanee:

• Chi: utenti non privilegiati, account di servizio, sessioni RDP da IP insoliti
• Quando: raffica di comandi di enumerazione in finestre temporali brevi (sotto i 60 secondi)
• Cosa viene prima e dopo: se net user è preceduto da un'esecuzione anomala (ad esempio un processo figlio di rundll32.exe o mshta.exe) e seguito da net group /domain, il segnale è forte

Su Linux, la detection si appoggia ad auditd e, dove disponibile, Sysmon for Linux (open source, richiede installazione). L'accesso in lettura a /etc/passwd e /etc/group va monitorato tramite regole audit sul path. Il punto critico è restringere il monitoraggio alle sessioni utente interattive e ai processi con parent process inatteso — altrimenti ogni chiamata di sistema che tocca /etc/passwd (e sono moltissime) genera un falso positivo.

Su macOS, i Unified Log catturano le invocazioni di dscl, dscacheutil e id. La regola dovrebbe concentrarsi su esecuzioni provenienti da applicazioni non firmate o da utenti non-console.

Per ESXi, i file vpxd.log e i log della shell registrano le invocazioni di esxcli system account list. Qualsiasi sessione interattiva che non provenga da un job di manutenzione schedulato merita un'indagine.

Come hardening preventivo, la mitigazione documentata è chirurgica: la chiave di registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators impostata a 0 impedisce l'enumerazione degli account amministrativi durante l'elevazione UAC. Questa configurazione si distribuisce via GPO seguendo il percorso Computer Configuration > Administrative Templates > Windows Components > Credential User Interface, disabilitando la voce "Enumerate administrator accounts on elevation".

Quando ricostruisci un'intrusione, l'enumerazione degli account locali è uno dei primi marcatori della fase di ricognizione interna. Identificarla nella timeline permette di ancorare il momento in cui l'attaccante ha iniziato a orientarsi nel sistema compromesso — e spesso anticipa di poco i movimenti laterali.

Su Windows, gli artefatti principali sono concentrati in tre aree. La prima sono i log Sysmon: gli eventi EventCode 1 registrano il processo, la command line completa, il parent process e l'utente. Cerca invocazioni di net.exe o net1.exe con argomenti user o localgroup. Molti malware — come Elise, SMOKEDHAM e Comnie — invocano esattamente net user subito dopo aver stabilito la comunicazione con il C2, il che significa che nella timeline vedrai questa enumerazione pochi minuti dopo la connessione iniziale in uscita.

La seconda area è il Prefetch. I file NET.EXE-*.pf e NET1.EXE-*.pf nella directory C:\Windows\Prefetch registrano timestamp di esecuzione e file referenziati. Se net.exe non viene mai usato su quella macchina in condizioni normali, la sua comparsa nel Prefetch è già un indicatore significativo. Verifica i timestamp con:

PECmd.exe -f "C:\Windows\Prefetch\NET.EXE-.pf"*

Lo strumento PECmd di Eric Zimmerman (open source) è lo standard per il parsing del Prefetch.

La terza area, specifica per il caso di Fox Kitten, è l'accesso diretto ai file di registro utente: ntuser.dat e UsrClass.dat. L'accesso a questi file da parte di un processo non di sistema indica che l'attaccante sta estraendo informazioni sui profili utente. I log di accesso ai file (Sysmon EventCode 11 per creazione, EventCode 23 per eliminazione) e gli eventi di audit del file system catturano queste operazioni.

Un pattern particolarmente rilevante dalla campagna Operation CuckooBees è l'uso di net user come parte di una catena di discovery più ampia. In fase di analisi, non fermarti al singolo comando: cerca nella stessa sessione (stesso LogonId o stesso parent process) altri comandi di discovery come net group, ipconfig, systeminfo, tasklist. La densità di comandi di ricognizione in un intervallo ristretto è il vero indicatore di compromissione.

Su Linux, il focus si sposta su auditd. I record di tipo PATH con nametype=NORMAL riferiti a /etc/passwd e /etc/group registrano quale processo ha letto il file. Correla con i record EXECVE per ricostruire la command line completa. Su macOS, i log unificati catturano le invocazioni di dscl con i relativi argomenti. Anche qui, l'aggregazione temporale è fondamentale: un singolo dscl . list /Users può essere legittimo, ma una sequenza di comandi di discovery da parte dello stesso processo in pochi secondi racconta una storia diversa.

Come artefatto aggiuntivo, verifica la console history — su PowerShell il file ConsoleHost_history.txt nel profilo utente conserva i comandi digitati, inclusi quelli di enumerazione. Su Linux, il file .bash_history (o equivalente per la shell in uso) può contenere le tracce residue.

L'enumerazione degli account locali è una tecnica talmente diffusa da sembrare generica, ma i pattern d'uso variano significativamente tra i gruppi e rivelano profili operativi distinti. Con 18 gruppi APT documentati, è possibile identificare cluster geografici e metodologici.

Volt Typhoon (G1017) rappresenta il profilo più insidioso: un gruppo state-sponsored cinese che opera quasi esclusivamente con tool nativi. L'uso combinato di net user e quser — quest'ultimo specifico per sessioni terminal server — indica un interesse per ambienti con accesso remoto attivo, coerente con il targeting di infrastrutture critiche. Quando Volt Typhoon esegue enumerazione locale, sta mappando non solo chi ha accesso, ma chi è connesso in quel momento. Questo suggerisce preparazione per azioni in tempo reale, non semplice raccolta passiva.

Il cluster iraniano è particolarmente denso. OilRig (G0049) utilizza una catena di discovery articolata che include net user, net user /domain e query specifiche su gruppi come "Exchange Trusted Subsystem" — un indicatore di interesse per infrastrutture email. Moses Staff (G1009) si limita a raccogliere il nome dell'amministratore, segno di operazioni più mirate e meno rumorose. Fox Kitten (G0117) diverge completamente: invece di usare comandi, accede direttamente a ntuser.dat e UsrClass.dat, un approccio più furtivo che evita la generazione di log di processo. APT42 (G1044) adotta un approccio ancora diverso, impiegando uno script PowerShell custom denominato POWERPOST per la raccolta degli account locali — un livello di sofisticazione che indica capacità di sviluppo interno.

Il cluster cinese è altrettanto rivelatore. APT41 (G0096), protagonista della campagna Operation CuckooBees (C0012), ha usato net user come parte di una catena di espionage industriale mirata a tecnologia e manifattura in Asia orientale, Europa occidentale e Nord America. APT3 (G0022) si distingue per l'uso di tool custom per ottenere informazioni su utenti locali, globali, power user e amministratori in un'unica operazione. Ke3chang (G0004) punta direttamente a net localgroup administrators, saltando l'enumerazione generica — un comportamento che indica operatori esperti che sanno già cosa cercare. APT32 (G0050), pur essendo vietnamita, condivide lo stesso pattern di Ke3chang, focalizzandosi sugli amministratori locali.

Turla (G0010), gruppo legato alla Russia, utilizza il basico net user, ma nel suo caso la semplicità è ingannevole — l'enumerazione locale è solo il primo gradino di catene di discovery estremamente sofisticate. Threat Group-3390 (G0027) e APT1 (G0006) mostrano pattern simili, con uso sistematico dei comandi net per la ricognizione interna.

Il trend emergente è chiaro: i gruppi più maturi stanno abbandonando net.exe in favore di approcci meno visibili — accesso diretto ai file di registro, API WMI, script PowerShell custom. Per il threat hunter, questo significa che le regole basate solo sulla command line di net.exe coprono i gruppi meno sofisticati, ma lasciano scoperti quelli più pericolosi.

Framework MITRE ATT&CK: tecnica T1087.001, tattica TA0007, campagna C0012 (Operation CuckooBees), mitigazione M1028, detection DET0303. Gruppi: G0004, G1009, G1051, G0049, G0096, G0030, G0050, G1017, G1044, G1039, G0114, G0010, G0117, G0022, G0027, G0033, G0018, G0006. Tool di detection: Sysmon, auditd, PECmd. Integrato con conoscenza professionale per tool e procedure operative.