Scoperta dei Servizi di Rete: Network Service Discovery (T1046)

In un esercizio red team, la scansione dei servizi di rete è il primo passo dopo il foothold iniziale. L'obiettivo è costruire una mappa accurata di ciò che è raggiungibile dal punto di compromissione, esattamente come farebbe un avversario reale. La chiave è variare gli approcci: tool dedicati, utility native e tecniche LOTL.

Scansione TCP con Nmap (open source). Il classico intramontabile. Da una shell Linux o Windows con Nmap installato, una scansione SYN veloce su una subnet interna:

nmap -sS -sV -T4 -p 21,22,80,135,443,445,1433,3306,3389,5900,8080 192.168.1.0/24 -oA scan_results

Il flag -sV tenta il version detection, fondamentale per identificare servizi vulnerabili. Il flag -T4 accelera il timing senza essere eccessivamente rumoroso. L'output in formato -oA genera file nei tre formati (normale, XML, grepable) per analisi successive.

RustScan per velocità (open source). Se il tempo è limitato e il perimetro è vasto, RustScan effettua la discovery delle porte aperte in modo estremamente rapido e poi passa i risultati a Nmap per il version fingerprinting:

rustscan -a 10.0.0.0/24 -- -sV -sC

Questa combinazione è stata osservata nella campagna C0027 contro ambienti con appliance ESXi.

Living-off-the-land su Windows. Senza installare nulla, PowerShell permette di testare porte specifiche:

Test-NetConnection -ComputerName 10.0.0.5 -Port 445

Per un approccio più sistematico, un semplice loop verifica più porte su un singolo host:

1..1024 | ForEach-Object { $socket = New-Object System.Net.Sockets.TcpClient; if ($socket.ConnectAsync("10.0.0.5", $).Wait(100)) { "Porta $ aperta" }; $socket.Dispose() }

Discovery mDNS su macOS. Il daemon Bonjour registra automaticamente i servizi. Per enumerare host che espongono SSH:

dns-sd -B _ssh._tcp .

Questo comando è nativo di macOS e non richiede privilegi elevati: perfetto per simulare un avversario con accesso utente standard.

Ambienti container. In un cluster Kubernetes, masscan (open source) permette di individuare kubelet esposti sulla porta 10250:

masscan 10.244.0.0/16 -p 10250 --rate 1000

Per completare il quadro, NBTscan (open source) è utile per l'enumerazione NetBIOS in reti Windows legacy:

nbtscan -r 192.168.1.0/24

Il consiglio operativo è documentare ogni scan con timestamp e scope nel report, e confrontare i risultati con l'inventario asset del cliente per evidenziare servizi sconosciuti o shadow IT.

Rilevare una scansione di rete è concettualmente semplice — un host che contatta molte porte o molti IP in sequenza rapida — ma nella pratica il tasso di falsi positivi può essere devastante. Vulnerability scanner aziendali, software di monitoraggio, agenti di discovery: tutti generano pattern identici a un port scan malevolo. La strategia vincente è la correlazione multi-sorgente con whitelist rigorose.

Windows — Sysmon come pilastro. L'analytic AN1057 si basa sulla correlazione tra eventi di creazione processo e connessioni socket. Sysmon con EventID 1 (Process Create) cattura l'avvio di binari come nmap.exe, netscan.exe, masscan.exe. L'EventID 3 (Network Connection) registra ogni connessione in uscita con IP e porta di destinazione. La logica di detection cerca un singolo processo che genera connessioni verso un numero di IP o porte distinte superiore alla soglia ScanRateThreshold entro una finestra temporale definita (tipicamente 60 secondi).

Il tuning è fondamentale: la lista KnownScannerExeList deve includere tutti gli scanner autorizzati — Nessus, Qualys, l'agent di SCCM — altrimenti il SOC affoga negli alert. Un approccio efficace è taggare gli asset autorizzati alla scansione in un asset inventory dedicato e correlare l'IP sorgente prima di generare l'alert.

Linux — Auditd e netflow. L'analytic AN1058 combina i log auditd:SYSCALL con telemetria di rete. Le regole auditd devono monitorare le chiamate di sistema connect e socket per processi che corrispondono a pattern noti tramite il ToolPatternRegex — ad esempio processi con argomenti come -sS, -zv o simili. La lista ExpectedScanSources esclude gli IP dei sistemi di monitoraggio legittimi.

macOS — Unified Log e mDNS. L'analytic AN1059 è specifico per l'ambiente Apple: monitora query mDNS anomale come _ssh._tcp.local o l'esecuzione di dns-sd in contesto interattivo. Il parametro UserContext distingue tra attività di un daemon di sistema (legittima) e una sessione utente interattiva (sospetta).

Container — eBPF come sensore. L'analytic AN1060 sfrutta eBPF per intercettare syscall all'interno dei container. Il NetworkDestinationCount — il numero di destinazioni uniche contattate — è il parametro chiave. In un ambiente Kubernetes ben segmentato, un pod non dovrebbe mai contattare decine di IP diversi su porte di gestione.

Come controlli preventivi, i sistemi IDS/IPS di rete (mitigazione M1031) possono bloccare pattern di scansione noti attraverso signature specifiche. La segmentazione di rete (M1030) riduce drasticamente la superficie visibile a un host compromesso: se il segmento è isolato, lo scan restituisce pochi risultati utili all'attaccante.

L'analisi forense della scansione di rete richiede la ricostruzione di tre elementi: quale strumento è stato usato, da dove è partita la scansione e cosa ha scoperto l'attaccante. Ogni risposta contribuisce a comprendere il movimento laterale successivo.

Artefatti Windows. I log Sysmon sono la fonte primaria. L'EventID 1 documenta la creazione del processo scanner con riga di comando completa, hash dell'eseguibile e informazioni sul processo padre. È qui che si identificano strumenti come SoftPerfect Network Scanner (netscan.exe), usato da Cobalt Group, INC Ransom e Medusa Group, o Advanced Port Scanner, osservato nella campagna HomeLand Justice e nel malware Pysa.

L'EventID 3 di Sysmon registra le connessioni di rete con IP sorgente, IP destinazione, porta e PID del processo. Una sequenza di connessioni dallo stesso PID verso porte incrementali o IP sequenziali è la firma classica di un port scan. Quando Sysmon non è disponibile, i log del firewall di Windows — Windows Filtering Platform con EventID 5156 — offrono un'alternativa, sebbene meno ricca di contesto sul processo.

Il filesystem fornisce evidenze complementari: Prefetch (C:\Windows\Prefetch) registra l'esecuzione di binari come nmap.exe o netscan.exe con timestamp dell'ultimo e delle ultime otto esecuzioni. La directory %TEMP% e le cartelle di download dell'utente compromesso possono contenere l'eseguibile portabile — molti scanner usati dagli APT sono standalone e non richiedono installazione.

Artefatti Linux. I log auditd con la regola sulla syscall connect tracciano ogni tentativo di connessione con PID, UID ed eseguibile. Per ricostruire la timeline, si correlano i timestamp delle connessioni con il log del comando eseguito tramite la regola EXECVE di auditd. In ambienti senza auditd, i log di rete catturati da un Network Security Monitor diventano essenziali: flussi con centinaia di SYN verso porte diverse dallo stesso IP sorgente sono inequivocabili.

La cronologia della shell (~/.bash_history, ~/.zsh_history) può contenere comandi Nmap o netcat eseguiti manualmente. Nella campagna Operation Wocao, gli attori hanno usato nbtscan per enumerare NETBIOS nameserver, e nella campagna CostaRicto sono stati impiegati sia nmap sia pscan.

Ambienti container. I log del runtime containerd e la telemetria eBPF registrano le syscall di rete eseguite all'interno dei pod. Il malware Hildegard ha usato masscan per individuare kubelet nella rete interna Kubernetes — un pattern ricostruibile correlando i log del container con i flussi di rete del nodo host.

La ricostruzione della timeline deve posizionare l'evento di scansione nel contesto: tipicamente avviene dopo l'accesso iniziale e prima del movimento laterale. I servizi scoperti durante lo scan indicano i probabili bersagli successivi dell'intrusione.

Con 31 gruppi che adottano questa tecnica, Network Service Discovery è uno dei comportamenti più trasversali nel panorama threat. Tuttavia, analizzando gli strumenti e le modalità specifiche, emergono pattern di attribuzione significativi.

Volt Typhoon rappresenta il paradigma LOTL portato all'estremo: utilizza strumenti commerciali e utility già presenti nel sistema per la discovery, evitando di introdurre binari riconoscibili. Questo approccio — coerente con il profilo di un gruppo focalizzato su persistenza a lungo termine in infrastrutture critiche — rende la detection particolarmente ardua perché i tool usati sono legittimi.

Il cluster iraniano è particolarmente attivo su questa tecnica. APT39 si distingue per l'uso di CrackMapExec affiancato da BLUETORCH, un port scanner custom. Magic Hound predilige KPortScan 3.0 con focus su SMB, RDP e LDAP — porte che suggeriscono un interesse per il movimento laterale tramite protocolli Windows. Fox Kitten usa direttamente Nmap senza particolari personalizzazioni. Agrius, nell'ambito della campagna HomeLand Justice contro le reti governative albanesi, ha impiegato il port scanner open source WinEggDrop, mentre Advanced Port Scanner è stato eseguito direttamente sui sistemi compromessi.

Il blocco cinese mostra una predilezione per tool specializzati. APT41 ha sviluppato WIDETONE, una variante malware dedicata alla scansione di subnet specifiche. Threat Group-3390 usa il tool proprietario Hunter per individuare sistemi vulnerabili. Mustang Panda e gli attori di Operation Wocao convergono sull'uso di NBTscan per l'enumerazione NetBIOS, indicando un interesse per reti Windows enterprise.

Nel panorama cybercrime, TeamTNT si distingue per lo stack cloud-native: masscan per Docker API esposti, zmap e zgrab per servizi vulnerabili in ambienti cloud. Rocke cerca specificamente la porta TCP 7001 (WebLogic) insieme a SSH e Redis — un targeting chirurgico verso servizi notoriamente sfruttabili per il cryptomining. FIN6 utilizza osql.exe, strumento nativo Microsoft, per mappare server SQL — un esempio di discovery mirata al proprio obiettivo specifico (furto dati di pagamento).

Le 5 campagne documentate confermano la centralità della tecnica nelle operazioni multi-fase. CostaRicto (C0004, 2019-2020) ha combinato Nmap e pscan in un'operazione mercenaria globale. C0018 (2022) ha usato SoftPerfect Network Scanner nella fase di ricognizione pre-ransomware AvosLocker. C0027 (2022), condotta da Scattered Spider, ha impiegato RustScan specificamente contro appliance ESXi — un target sempre più attraente per i ransomware operator.

Il trend emergente è la convergenza tra gruppi state-sponsored e gruppi cybercrime sugli stessi tool: SoftPerfect Network Scanner appare sia nelle operazioni di Cobalt Group sia in quelle di INC Ransom e Medusa Group. Questo overlap rende l'attribuzione basata sui soli strumenti di scansione insufficiente — serve correlare con TTP successivi nella kill chain.

Framework MITRE ATT&CK v16 — Tecnica T1046, Tattica TA0007. Campagne: C0004 (CostaRicto), C0038 (HomeLand Justice), C0027, C0018, C0014 (Operation Wocao). Analytics: AN1057, AN1058, AN1059, AN1060. Integrato con conoscenza professionale per tool e procedure operative.