Enumerazione dei Log: Log Enumeration (T1654)

Simulare la Log Enumeration in laboratorio significa ragionare come un attaccante in fase post-compromise: sei già dentro, hai una shell, e vuoi capire chi si è autenticato, quali difese sono attive e come si muove il blue team.

Windows — wevtutil.exe e PowerShell

Il binario nativo wevtutil.exe è lo strumento preferito da gruppi come Volt Typhoon e Mustang Panda. Per enumerare i canali di log disponibili su un host:

wevtutil el

Questo comando elenca tutti i canali evento registrati. Per interrogare gli ultimi 50 eventi del canale Security — tipica mossa per identificare logon riusciti — si usa:

wevtutil qe Security /c:50 /f:text /rd:true

Il flag /rd:true inverte l'ordine di lettura, mostrando prima gli eventi più recenti. L'export completo di un canale verso un file .evtx è altrettanto diretto:

wevtutil epl Security C:\Temp\sec_export.evtx

Sul fronte PowerShell, il cmdlet storico utilizzato da Volt Typhoon è immediato:

Get-EventLog Security -Newest 100 | Select-Object TimeGenerated, EntryType, Message

Per sistemi moderni, il cmdlet equivalente e più flessibile è Get-WinEvent:

Get-WinEvent -LogName Security -MaxEvents 100 | Format-List TimeCreated, Id, Message

Linux — lettura diretta e journalctl

La tecnica di Aquatic Panda su ambienti Linux si replica accedendo ai log di autenticazione. Su distribuzioni Debian-based il file di riferimento è /var/log/auth.log, su Red Hat-based è /var/log/secure:

grep "Accepted" /var/log/auth.log | tail -50

Per ambienti con systemd, journalctl offre filtraggio granulare:

journalctl _COMM=sshd --since "2 hours ago" --no-pager

La raccolta massiva — bulk export — si simula comprimendo l'intera directory:

tar czf /tmp/logs_exfil.tar.gz /var/log/

Cloud — Pacu per AWS

Il framework Pacu (open source) consente di simulare l'enumerazione in ambienti AWS. Il modulo cloudtrail__download_event_history scarica lo storico degli eventi CloudTrail, mentre cloudwatch__download_logs raccoglie i log CloudWatch. L'esecuzione dal cli interattivo di Pacu è semplice:

Pacu > run cloudtrail__download_event_history

ESXi

Sugli hypervisor VMware, i log critici risiedono sotto /var/log/. Un attaccante con accesso shell enumera rapidamente con:

ls -la /var/log/vmkernel.log /var/log/hostd.log /var/log/vpxa.log

In un esercizio red team, documenta ogni artefatto generato: i comandi nativi lasciano tracce nei log stessi, e questa circolarità è esattamente ciò che il blue team deve imparare a sfruttare.

Il paradosso della Log Enumeration è che gli strumenti usati dall'attaccante sono gli stessi impiegati quotidianamente dagli amministratori. La sfida non è rilevare il comando in sé, ma il contesto anomalo in cui viene eseguito.

Windows — Sysmon e Security Log

La detection primaria si basa sul monitoraggio di wevtutil.exe e dei cmdlet Get-WinEvent e Get-EventLog. Con Sysmon (open source) installato, l'EventCode 1 (Process Creation) cattura ogni invocazione con la riga di comando completa. La regola deve concentrarsi su esecuzioni da parte di utenti non amministrativi o da processi parent inattesi — un wevtutil.exe lanciato da cmd.exe sotto il profilo di un utente standard è un segnale forte.

Correla l'enumerazione con attività di export o trasferimento dati: se entro una finestra temporale definita (ad esempio 15 minuti) dallo stesso host compaiono sia l'esecuzione di wevtutil epl sia una connessione in uscita verso IP esterni o la creazione di archivi compressi, la confidenza dell'alert sale significativamente. I log da monitorare sono WinEventLog:Security e i canali Sysmon.

Per il tuning, costruisci una whitelist degli script di gestione log schedulati dagli amministratori. Senza questo filtro, i falsi positivi da attività di manutenzione ordinaria renderanno la regola inutilizzabile nel giro di giorni.

Linux — auditd

Configura regole auditd per intercettare accessi in lettura ai file sotto /var/log/. I record SYSCALL e PATH generati da auditd catturano l'apertura di file sensibili come auth.log o secure. La regola di audit si scrive così:

-w /var/log/auth.log -p r -k log_enum

Filtra i processi di log rotation (logrotate) e gli script di troubleshooting schedulati via cron, altrimenti l'alert genererà rumore continuo.

macOS — Unified Log

Monitora l'esecuzione di log show e l'accesso via shell utility (cat, grep) ai file sotto /var/log/system.log. Il sistema di unified logging di macOS registra queste operazioni, e gli alert dovrebbero escludere sviluppatori e amministratori che accedono ai log durante sessioni di debug documentate.

Cloud (IaaS) — CloudTrail e Azure Activity

Per AWS, monitora le chiamate API GetLogEvents e FilterLogEvents su CloudWatch, oltre al download massivo di eventi CloudTrail. Per Azure, traccia le invocazioni dell'agente VM per la raccolta log guest. Definisci soglie di volume e frequenza: un singolo principal che richiede log da decine di istanze in pochi minuti è un indicatore comportamentale solido. I log di riferimento sono AWS:CloudTrail e azure:activity.

ESXi

Controlla gli accessi shell e API ai log sotto /var/log/ dell'hypervisor, in particolare vmkernel.log, hostd.log e vpxa.log. Correla con le sessioni amministrative legittime per ridurre il rumore — qualsiasi accesso fuori da sessioni autenticate di gestione è da investigare.

L'analisi forense della Log Enumeration richiede un approccio a doppia direzione: da un lato cerchi le tracce dell'enumerazione stessa, dall'altro verifichi se l'attaccante ha cancellato o manipolato i log dopo averli letti — una sequenza osservata nel comportamento di Aquatic Panda, che enumerava i log di autenticazione Linux prima di eliminarne selettivamente le voci.

Artefatti Windows

Parti dai metadati del filesystem. I file .evtx esportati tramite wevtutil epl lasciano tracce evidenti: cerca file con estensione .evtx in percorsi atipici (directory temporanee, profili utente, cartelle di staging). Sul Master File Table ($MFT), il timestamp di creazione di questi file diventa un pivot temporale cruciale.

La Prefetch di Windows (su sistemi client) registra l'esecuzione di wevtutil.exe con il file WEVTUTIL.EXE-*.pf, che contiene timestamp dell'ultimo e dei precedenti lanci, oltre all'elenco di file e directory referenziati. Analizzalo con PECmd (open source, parte della suite Eric Zimmerman Tools) per estrarre queste informazioni strutturate.

Nei log PowerShell — se il Module Logging e lo Script Block Logging sono abilitati (EventCode 4103 e 4104) — troverai i cmdlet esatti eseguiti, compresi i parametri di filtraggio che rivelano cosa cercava l'attaccante. Un Get-EventLog Security filtrato per EventID 4624 (logon riuscito) suggerisce un interesse specifico per la mappatura degli account attivi.

Artefatti Linux

La cronologia della shell (.bash_history, .zsh_history) può contenere i comandi di enumerazione, a meno che l'attaccante non l'abbia svuotata — circostanza che è di per sé un indicatore. Cerca anche nei log di auditd i record SYSCALL che documentano l'apertura in lettura di file sotto /var/log/. Il timestamp dell'accesso ai file (atime, se il filesystem non è montato con noatime) fornisce un ulteriore dato per la timeline.

Per il caso Aquatic Panda, verifica l'integrità dei log di autenticazione confrontando le sequenze di timestamp: gap temporali anomali o righe fuori sequenza indicano eliminazione selettiva. Se disponibili, i backup dei log o i log inoltrati a un syslog remoto diventano la fonte di verità per ricostruire le voci cancellate.

Cloud e ESXi

In ambienti AWS, i log CloudTrail stessi registrano chi li ha consultati o scaricati — un meta-livello prezioso. Verifica le chiamate API di download e identifica il principal IAM responsabile. Su ESXi, controlla i log di accesso shell (shell.log) per sessioni che hanno interagito con i file di log dell'hypervisor, e correla con i log di autenticazione vCenter per risalire all'account utilizzato.

Costruzione della timeline

Allinea tutti gli artefatti su un asse temporale unico: esecuzione del comando → accesso ai file di log → eventuale export/compressione → eventuale trasferimento di rete → eventuale cancellazione. Ogni fase lascia una traccia distinta, e la sequenza completa racconta la storia dell'intento operativo dell'avversario.

La Log Enumeration è un indicatore di maturità operativa: solo gli avversari che hanno raggiunto una certa sofisticazione investono tempo nel leggere i log dell'ambiente compromesso. Cinque gruppi APT documentati impiegano questa tecnica, ciascuno con un profilo tattico distinto.

Volt Typhoon rappresenta il caso più emblematico dell'approccio living-off-the-land. L'utilizzo di wevtutil.exe e Get-EventLog Security per cercare logon riusciti rivela un interesse nella mappatura degli account attivi, probabilmente propedeutico a movimenti laterali. Questo gruppo, noto per il targeting di infrastrutture critiche, usa la Log Enumeration come tassello di una ricognizione interna estremamente paziente, dove ogni strumento impiegato è nativo del sistema operativo.

APT5 si distingue per l'impiego di BLOODMINE, un'utility dedicata al parsing dei log di Pulse Secure Connect. L'investimento nello sviluppo di un tool specifico per una singola piattaforma VPN indica un targeting molto focalizzato: APT5 cercava informazioni di autenticazione e connessione in un contesto dove l'accesso ai dispositivi di rete perimetrali era l'obiettivo primario.

Ember Bear enumera specificamente i canali SECURITY e SYSTEM, una combinazione che fornisce visibilità su autenticazioni, modifiche di policy e eventi di sistema. Questo pattern suggerisce una fase di ricognizione ampia, orientata a comprendere lo stato complessivo della sicurezza dell'ambiente piuttosto che a cercare un dato specifico.

Aquatic Panda aggiunge un elemento unico: l'enumerazione dei log di autenticazione Linux è seguita dalla cancellazione selettiva di voci specifiche. Questa catena — lettura, analisi, eliminazione mirata — dimostra una doppia finalità (Discovery + Defense Evasion) e una consapevolezza avanzata dei meccanismi di logging.

Mustang Panda, come Volt Typhoon, si affida a wevtutil per raccogliere i Windows Security Event Logs. L'overlap nell'uso dello stesso tool nativo complica l'attribuzione basata esclusivamente sugli artefatti di esecuzione, rendendo necessario correlare con altri indicatori della kill chain.

Il pattern trasversale è chiaro: la Log Enumeration è quasi sempre seguita da un'altra azione — movimento laterale, evasione difensiva o esfiltrazione. Per prevedere la mossa successiva, monitora quale tipo di log viene enumerato. Log di autenticazione suggeriscono preparazione al lateral movement; log di sicurezza indicano valutazione delle difese; log applicativi puntano a software discovery. Sul fronte software, Pacu evidenzia l'estensione della tecnica al cloud, mentre BeaverTail la applica all'esfiltrazione di dati browser — due vettori in crescita che ampliano la superficie di rischio ben oltre il perimetro tradizionale.

Framework MITRE ATT&CK v16 — Tecnica T1654 (Log Enumeration), Tattica TA0007 (Discovery). Gruppi: G1023, G1003, G1017, G0143, G0129. Software: S1246, S1091, S1191, S1194, S1159. Mitigazione: M1018. Detection: DET0255 (AN0705–AN0709). Integrato con conoscenza professionale per tool e procedure operative.