Manipolazione Dati Archiviati: Data Manipulation - Stored Data Manipulation (T1565.001)

La simulazione di manipolazione dati richiede un approccio metodico per testare i controlli di integrità. Iniziamo con scenari base per poi evolverci verso attacchi più sofisticati.

Per alterare file di database senza utilizzare i client ufficiali, puoi operare direttamente sui file binari. Su Linux, identifica prima i processi database attivi: ps aux | grep mysql. Poi localizza i file di dati: find /var/lib/mysql -name ".ibd" -type f*.

Un approccio più raffinato prevede la creazione di copie di backup prima della modifica, emulando il comportamento di SUNSPOT. Su Windows, replica questa sequenza: copy C:\critical\data.db C:\critical\data.db.bk echo malicious_content > C:\critical\data.db.tmp move /Y C:\critical\data.db.tmp C:\critical\data.db

Per testare la resilienza dei sistemi di logging, modifica i timestamp dei file manipolati usando touch -t 202301010000 modified_file su Linux. Su Windows, utilizza PowerShell: $(Get-Item "C:\file.txt").LastWriteTime = '01/01/2023 00:00:00'.

La manipolazione di record SWIFT, come dimostrato da APT38, richiede conoscenza approfondita del formato dati. In ambiente di test, crea script Python che parsano e modificano file XML bancari preservando la struttura sintattica ma alterando importi o beneficiari.

Per simulare l'offuscamento dei percorsi originali come fa MultiLayer Wiper, usa: shred -vfz -n 3 original_file && echo "fake_content" > misleading_name.txt. Questo rende il recovery forense estremamente complesso.

La detection efficace richiede monitoraggio granulare delle operazioni sui file critici. Configura Sysmon su Windows per catturare eventi di creazione/modifica file con questa regola XML che monitora le directory database:

<FileCreate onmatch="include">
  <TargetFilename condition="contains">C:\ProgramData\MySQL</TargetFilename>
</FileCreate>

Su Linux, implementa regole auditd specifiche per directory sensibili: auditctl -w /var/lib/mysql -p wa -k database_changes. Questo genera log per ogni operazione write o attribute change.

L'analisi comportamentale deve identificare processi anomali che accedono a file strutturati. Crea correlation rules nel SIEM che flaggano quando processi non-database (come cmd.exe o bash) interagiscono con file .ibd, .mdf o .db.

Per ridurre i falsi positivi, costruisci una whitelist di processi autorizzati. Su Windows, monitora EventCode 11 di Sysmon escludendo: mysqld.exe, sqlservr.exe, oracle.exe. Qualsiasi altro processo che tocca file database genera alert immediato.

Implementa threshold-based alerting per operazioni bulk. Se più di 10 file critici vengono modificati in 5 minuti da un singolo processo, triggera un alert high-severity. Questo pattern spesso indica wiper o ransomware in azione.

La correlazione temporale è fondamentale: collega modifiche ai file con eventi di autenticazione anomala nelle 2 ore precedenti per identificare la kill chain completa.

L'analisi forense di manipolazioni dati richiede attenzione ai dettagli temporali e ai metadati. Su Windows, esamina il journal USN per ricostruire la sequenza di modifiche: fsutil usn readdata C:\suspicious_file.db.

I timestamp MACB (Modified, Accessed, Changed, Birth) sono cruciali ma facilmente falsificabili. Confronta sempre con log di sistema indipendenti come Event ID 4663 (object access) nel Security log di Windows.

Per database SQL Server, analizza il transaction log usando: SELECT * FROM fn_dblog(NULL, NULL) WHERE Operation = 'LOP_MODIFY_ROW'. Questo rivela modifiche a livello di record anche se i file sono stati successivamente alterati.

Su Linux, recupera informazioni dalle strutture ext4 usando debugfs: debugfs -R "logdump -i /var/lib/mysql/data.ibd" /dev/sda1. I journal del filesystem spesso contengono tracce di modifiche anche dopo tentativi di cancellazione.

La ricostruzione timeline deve integrare molteplici fonti. Crea una matrice temporale che includa: modifiche file (MFT/inode), log applicativi, connessioni di rete, processi in esecuzione. Tool come Plaso automatizzano questa correlazione generando super-timeline forensi.

Particolare attenzione va posta ai backup files con estensioni .bk o .tmp, pattern caratteristico di SUNSPOT. Questi file temporanei spesso contengono versioni originali dei dati prima della manipolazione.

APT38 emerge come l'attore principale documentato in questa tecnica, specializzato in attacchi al sistema finanziario. Il gruppo nordcoreano utilizza DYEPACK per manipolare database SWIFT, alterando record di transazioni per nascondere trasferimenti fraudolenti.

L'analisi dei TTP mostra evoluzione dalle semplici cancellazioni verso manipolazioni chirurgiche. APT38 studia approfonditamente i sistemi target per mesi, acquisendo conoscenza dei formati dati e processi di riconciliazione bancaria.

Il malware SUNSPOT rappresenta un salto qualitativo nella sofisticazione. La sua capacità di iniettarsi nel processo di build di SolarWinds dimostra comprensione profonda della supply chain software. Il pattern backup-modifica-sostituzione minimizza il rischio di corruzione accidentale.

MultiLayer Wiper introduce tecniche anti-forensi avanzate, alterando i path originali dei file cancellati. Questa evoluzione suggerisce crescente consapevolezza delle capacità di incident response delle vittime.

I trend emergenti indicano spostamento verso manipolazioni "low and slow" difficili da detectare. Invece di modifiche massive, gli attori preferiscono alterazioni minime ma strategiche di record critici. Monitorate sistemi di inventory management, piattaforme di trading e database HR per identificare target futuri.

La convergenza tra ransomware e data manipulation rappresenta la prossima frontiera. Gruppi criminali potrebbero evolvere dal semplice encryption verso alterazione selettiva di dati business-critical prima di richiedere riscatto.

Framework MITRE ATT&CK T1565.001. Analisi APT38 e campagna DYEPACK contro istituzioni finanziarie. Research su SUNSPOT nella supply chain attack SolarWinds. Detection strategies per file integrity monitoring su piattaforme Windows, Linux e macOS.