Log Enumeration: Come gli Attaccanti Scandagliano i Tuoi Log (T1654)

L'enumerazione dei log inizia sempre con la ricognizione degli event log disponibili. Su Windows, il comando base per identificare i canali di logging è:

wevtutil el

Per esportare eventi di sicurezza specifici, Volt Typhoon ha dimostrato l'efficacia di combinare PowerShell con query mirate:

Get-EventLog security | Where-Object {$_.EventID -eq 4624}

Questo comando estrae tutti gli eventi di logon riusciti, fornendo una mappa degli accessi legittimi da impersonare. Per un'analisi più granulare, l'export in formato XML permette parsing automatizzato:

wevtutil qe Security /f:xml /q:"[System[(EventID=4624)]]" > security_logins.xml*

Su Linux, Aquatic Panda ha dimostrato tecniche sofisticate per enumerare log di autenticazione prima della cancellazione selettiva. Il comando base per visualizzare i log di sistema è:

journalctl -xe

Per targeting specifico dei log di autenticazione:

grep "Accepted password" /var/log/auth.log

La ricerca di pattern specifici rivela account attivi e orari di accesso. APT5 ha utilizzato il tool BLOODMINE per parsing avanzato di log Pulse Secure, dimostrando come strumenti custom possano automatizzare l'estrazione di informazioni da formati proprietari.

In ambienti cloud, il tool Pacu eccelle nell'enumerazione di CloudTrail:

pacu > run cloudtrail__download_event_history

Questo comando scarica l'intera storia degli eventi AWS, fornendo visibilità completa sulle azioni amministrative. Per Azure, l'utilizzo di CollectGuestLogs.exe richiede privilegi elevati ma fornisce accesso comprensivo ai log delle VM guest.

La catena d'attacco completa prevede tre fasi: identificazione dei log disponibili, estrazione mirata di eventi interessanti, esportazione verso infrastruttura controllata dall'attaccante per analisi offline. Ember Bear ha dimostrato questa metodologia enumerando specificamente i file SECURITY e SYSTEM durante le intrusioni.

La detection efficace richiede correlazione multi-livello tra comandi di enumerazione e successive azioni di export. Su Windows, monitora l'EventID 4663 per accessi ai file di log attraverso wevtutil.exe o cmdlet PowerShell come Get-WinEvent.

Una regola SIEM efficace correla l'esecuzione di:

process_name:(wevtutil.exe OR powershell.exe) AND command_line:("Get-EventLog" OR "Get-WinEvent" OR "qe Security")

con successive connessioni di rete esterne entro 5 minuti. Questo pattern identifica tentativi di esfiltrare log verso C2.

Su Linux, configura auditd per tracciare accessi a /var/log/:

-w /var/log/ -p r -k log_enumeration

Monitora specificamente accessi multipli a file di log diversi in finestre temporali ristrette. Aquatic Panda tipicamente enumera auth.log, secure e messages in sequenza rapida.

Per ambienti cloud, le API call critiche includono GetLogEvents su AWS e Get-AzLog su Azure. Un threshold di 100 richieste in 10 minuti da una singola identità indica comportamento anomalo.

Il tuning richiede whitelisting accurato degli script amministrativi legittimi. Crea baseline per:

• Script di manutenzione schedulati
• Tool di troubleshooting autorizzati
• Sessioni amministrative documentate

I falsi positivi derivano principalmente da attività di debugging legittime. Implementa context enrichment correlando:

• Ticket di change management aperti
• Sessioni VPN amministrative attive
• Orari di manutenzione pianificata

Per ESXi, monitora accessi shell a /var/log/vmkernel.log e hostd.log da account non amministrativi. La detection comportamentale si basa su anomalie nel volume di log acceduti rispetto al baseline dell'account.

L'analisi forense dell'enumerazione log lascia tracce distintive nel filesystem e nei log di sistema. Su Windows, esamina il registro Microsoft-Windows-EventLog-Readers/Operational per identificare query eseguite su event log.

Gli artefatti chiave includono:

• Prefetch files di wevtutil.exe con timestamp di esecuzione multipli
• PowerShell ScriptBlock logging (EventID 4104) contenente cmdlet di query log
• File temporanei XML/CSV in %TEMP% con export di eventi

Ember Bear lascia pattern distintivi: enumerazione SECURITY seguita da SYSTEM entro 2-3 minuti. Cerca file con naming pattern sec_.xml* o sys_.log* nelle directory di staging.

Su Linux, analizza:

• .bash_history per comandi grep/cat su /var/log/
• auditd logs per syscall open() su file di log
• Timestamp di accesso (atime) anomali su log critici

La timeline reconstruction inizia identificando il primo accesso ai log. Mustang Panda tipicamente esegue wevtutil el per inventory iniziale, seguito da query mirate entro 5-10 minuti.

Per correlazione temporale, allinea:

1. Timestamp di esecuzione comandi (prefetch/auditd)
2. Creazione file di export temporanei
3. Connessioni di rete per esfiltrare dati
4. Cancellazione artefatti di staging

In ambienti virtualizzati, BeaverTail ha dimostrato interesse per file .ldb e .log nelle directory delle estensioni browser. Questi contengono spesso credenziali cached e history di navigazione.

Gli indicatori di compromissione includono:

• Export massivi di event log (file >100MB)
• Query PowerShell con filtri su EventID sensibili (4624, 4672, 4720)
• Accessi ripetuti a log di autenticazione in orari non lavorativi

La persistenza della tecnica si manifesta attraverso scheduled task o cron job che eseguono enumerazione periodica, permettendo monitoraggio continuo dell'ambiente.

Mustang Panda (G0129) rappresenta il profilo classico di threat actor che integra log enumeration nelle campagne di spionaggio. Originario della Cina, questo gruppo utilizza wevtutil per mappare Windows Security Event Log, cercando pattern di autenticazione per movimenti laterali mirati.

Aquatic Panda (G0143) dimostra sofisticazione superiore con focus su ambienti Linux. La loro metodologia prevede enumerazione selettiva di log di autenticazione seguita da cancellazione chirurgica di entry specifiche. Questo pattern suggerisce operazioni di lungo termine con forte enfasi sull'evasione.

Volt Typhoon (G1017) combina utility native (wevtutil.exe) con PowerShell (Get-EventLog security) per identificare logon riusciti. Il gruppo, associato alla Cina, mira a infrastrutture critiche utilizzando living-off-the-land techniques per minimizzare l'impronta.

APT5 (G1023) si distingue per l'uso di tooling custom come BLOODMINE, specificamente progettato per parsing di log Pulse Secure Connect. Questa specializzazione indica targeting di VPN enterprise e suggerisce campagne mirate contro specifici vertical.

Ember Bear (G1003) enumera sistematicamente file SECURITY e SYSTEM, pattern che indica ricerca di privilege escalation e persistenza. Il gruppo mantiene profilo operativo che suggerisce origine est-europea con focus su entità governative.

I tool overlap rivelano convergenza su utility native: 4 gruppi su 5 utilizzano wevtutil o equivalenti PowerShell. Solo APT5 investe in tooling custom, indicando risorse superiori o target altamente specifici.

Le campagne future probabilmente evolveranno verso:

• Enumerazione di log cloud-native (CloudTrail, Azure Activity Logs)
• Targeting di SIEM centralizzati per intelligence su blue team
• Automazione via malware specializzati come DUSTTRAP e Megazord

Pattern geografici mostrano concentrazione in Asia-Pacifico (3/5 gruppi), con tecniche che privilegiano stealth e persistenza a lungo termine rispetto a smash-and-grab.

Framework MITRE ATT&CK T1654. Campagne documentate: Mustang Panda (wevtutil abuse), Aquatic Panda (Linux auth.log targeting), Volt Typhoon (living-off-the-land), APT5 (BLOODMINE deployment), Ember Bear (SECURITY/SYSTEM enumeration). Detection strategies: DET0255 multi-platform. Referencias: auditd Linux hardening, Windows Event Forwarding, cloud-native logging architectures.