Scoperta delle Condivisioni di Rete: Network Share Discovery (T1135)

La simulazione di T1135 in laboratorio è un esercizio fondamentale per validare la capacità di detection del Blue Team. La buona notizia è che non servono tool esotici: i comandi nativi del sistema operativo coprono già la maggior parte degli scenari reali.

Windows — comandi nativi. L'approccio più diretto rispecchia ciò che fanno gruppi come APT32 e Chimera. Dalla shell di un host compromesso:

net view \\ /all

Il flag /all è cruciale: include le condivisioni amministrative nascoste (C$, ADMIN$, IPC$) che i malware come BADHATCH verificano per valutare il livello di accesso. Per l'enumerazione locale, il classico:

net share

In PowerShell, il cmdlet nativo offre un output più strutturato e facilmente parsabile:

Get-SmbShare -CimSession

Per un'enumerazione massiva su un segmento di rete — scenario tipico del ransomware che precede la cifratura — si può utilizzare uno script che itera su un range di IP. In alternativa, il modulo PowerView (open source, parte del progetto PowerSploit) offre il cmdlet Invoke-ShareFinder, lo stesso usato durante la campagna C0015 per mappare tutte le share aperte nel dominio:

Invoke-ShareFinder -CheckShareAccess

Linux — tool di enumerazione SMB. Da un host Linux con il pacchetto smbclient installato:

smbclient -L -N

Il flag -N tenta la connessione senza credenziali (null session). Per un'enumerazione autenticata su più host, NetExec (open source, successore di CrackMapExec) è lo strumento di riferimento:

nxc smb /24 --shares -u -p

Un'alternativa leggera è SMBMap (open source), che mostra anche i permessi effettivi su ogni share:

smbmap -H -u -p

macOS. Il comando nativo per elencare le condivisioni locali è:

sharing -l

Per enumerare share remote si usa smbutil:

smbutil view smb://

Catena d'attacco consigliata per il lab. Una sequenza realistica prevede tre fasi: (1) enumerazione delle share con Invoke-ShareFinder o nxc, (2) verifica dei permessi di scrittura sulle share individuate, (3) tentativo di lateral movement depositando un payload su una share scrivibile. Questo flusso replica fedelmente il comportamento osservato in campagne come Operation CuckooBees, dove il comando net share era parte di una ricognizione avanzata preliminare alla esfiltrazione di proprietà intellettuale.

Il problema principale con T1135 è il rumore: net view e net share sono comandi che gli amministratori usano quotidianamente. La chiave è la detection comportamentale basata su burst, non la singola esecuzione.

Log source critici. Su Windows servono almeno tre fonti attive contemporaneamente. Sysmon con EventCode 1 (Process Create) cattura l'esecuzione di net.exe, net1.exe e powershell.exe con argomenti sospetti. Il log Security con EventCode 5145 (accesso a share di rete) registra ogni tentativo di connessione a una condivisione, incluso il nome della share e il risultato. Infine, il canale ETW Microsoft-Windows-RPC traccia le chiamate srvsvc, come NetShareEnumAll, che i malware invocano direttamente via API senza passare per net.exe.

Su Linux, auditd con regole SYSCALL sulle exec di smbclient, smbmap, rpcclient e nmblookup rappresenta la fonte primaria. Affianca sempre un sistema NSM come Zeek (open source) per il traffico di rete sulle porte 445/139.

Su macOS, l'Endpoint Security framework registra le esecuzioni di sharing, smbutil e mount_smbfs. Il log unificato completa il quadro con contesto aggiuntivo.

La regola che conta: fan-out SMB. L'indicatore più affidabile non è il singolo comando, ma il pattern di connessioni SMB successive. Un processo che in una finestra di 10 minuti contatta 5 o più host unici sulla porta 445 sta quasi certamente enumerando share in modo sistematico. Questo è il cuore della detection AN0513 per Windows, AN0514 per Linux e AN0515 per macOS.

La logica di correlazione si costruisce così: l'esecuzione di un processo di enumerazione (fase 1) seguita da un burst di connessioni SMB outbound verso host multipli (fase 2), opzionalmente seguita da operazioni di listing o copia file (fase 3).

Tuning per ridurre i falsi positivi. Quattro parametri essenziali:

• AllowedDiscoveryAccounts: lista degli account di servizio e admin che eseguono script di inventario legittimi — escludili dagli alert
• BurstHostThreshold: soglia minima di host unici contattati (partire da ≥5, abbassare a ≥3 in ambienti piccoli o su fleet macOS)
• TimeWindow: finestra di correlazione tra processo e fan-out (default 10 minuti)
• PipeNameAllowList: named pipe come \PIPE\spoolss usate da agenti di management legittimi

Hardening preventivo. La mitigazione M1028 indica di abilitare via Group Policy l'impostazione "Do Not Allow Anonymous Enumeration of SAM Accounts and Shares", che blocca le null session e riduce drasticamente la superficie di enumerazione non autenticata. Disabilitare SMBv1 dove non necessario elimina un vettore legacy spesso sfruttato.

L'analisi forense di T1135 si basa su artefatti abbondanti ma distribuiti: il protocollo SMB è verboso per natura, e la combinazione di log di processo, log di rete e artefatti filesystem permette di ricostruire con precisione cosa l'attaccante ha enumerato e quando.

Artefatti Windows — processo e command line. Il punto di partenza è il log Sysmon EventCode 1, dove cercare l'esecuzione di net.exe o net1.exe con argomenti view o share. Attenzione: Windows redirige internamente net view a net1.exe, quindi entrambi gli eseguibili vanno tracciati. Il campo ParentImage è prezioso per risalire al vettore: se il parent è cmd.exe lanciato da Cobalt Strike, vedrai un parent sospetto come rundll32.exe o un processo con linea di comando offuscata.

Per le enumerazioni via API — come quelle di Conti, Cuba e Royal che chiamano direttamente NetShareEnum() — non esiste traccia nella command line. Qui serve il log Security EventCode 5145, che registra ogni accesso alla share IPC$ con il campo RelativeTargetName contenente srvsvc. Una sequenza di EventCode 5145 verso IPC$\srvsvc su molteplici host in rapida successione è la firma forense di un'enumerazione API-based.

Artefatti Windows — registro e filesystem. Le share mappate manualmente lasciano tracce nei registry key sotto HKCU\Network\. Le connessioni recenti compaiono in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2. I file Shellbag nel registro NTUSER.DAT memorizzano la navigazione dell'utente in cartelle di rete, utili per dimostrare che l'attaccante ha effettivamente sfogliato il contenuto delle share — un comportamento documentato per Dragonfly, che navigava file server cercando documentazione ICS/SCADA.

Il Prefetch di net.exe e net1.exe (file NET.EXE-xxxxxxxx.pf e NET1.EXE-xxxxxxxx.pf) registra i timestamp delle ultime 8 esecuzioni e i file referenziati. Su sistemi dove Prefetch è attivo (tipicamente workstation, non server), è una fonte complementare per confermare la timeline.

Artefatti Linux. La bash history (o equivalente per la shell in uso) è la fonte più immediata per comandi come smbclient -L. I log di auditd con syscall execve catturano ogni esecuzione anche se la history viene cancellata. Per le connessioni di rete, i log di Zeek smb_mapping.log registrano ogni share enumerata con timestamp, IP sorgente e destinazione.

Costruzione della timeline. L'approccio raccomandato prevede l'estrazione degli artefatti con tool come Plaso/log2timeline (open source) per creare una supertimeline, poi il filtraggio su eventi SMB e processi di enumerazione. Il pattern tipico mostra: esecuzione del comando di discovery → burst di connessioni SMB IPC$ → eventuale accesso a share specifiche → copia o staging di file — una sequenza che si completa spesso in pochi minuti e precede direttamente il lateral movement o la cifratura ransomware.

L'enumerazione delle share di rete è una di quelle tecniche trasversali che da sola dice poco sulla natura dell'attaccante, ma in combinazione con il resto della catena di attacco diventa un indicatore discriminante. Il panorama dei 16 gruppi documentati si divide nettamente in due cluster operativi.

Cluster spionaggio — APT statali. Gruppi come APT1, APT32, APT38, APT39 e APT41 usano T1135 come fase di orientamento nell'ambiente compromesso. Il caso più rappresentativo è Dragonfly, che non si limitava a enumerare le share ma le sfogliava attivamente cercando documentazione su sistemi ICS/SCADA — un comportamento che rivela immediatamente la motivazione di sabotaggio o spionaggio industriale verso infrastrutture critiche. Tonto Team utilizzava NBTscan per l'enumerazione, mentre APT39 si affidava a CrackMapExec, mostrando una preferenza per tool di post-exploitation consolidati.

Cluster ransomware e crimine finanziario. Wizard Spider, BlackByte, INC Ransom e FIN13 rappresentano il versante criminale. Per questi gruppi, la discovery delle share non è ricognizione fine a sé stessa: è il prerequisito tecnico diretto della fase di cifratura. Il malware ransomware — e l'elenco dei 57 software documentati lo conferma con famiglie come Conti, LockBit 2.0/3.0, BlackCat, Akira, RansomHub, Clop, Royal — integra l'enumerazione direttamente nel codice tramite API NetShareEnum, automatizzando il processo senza intervento dell'operatore.

Pattern geografici e campagne. Le quattro campagne documentate offrono un ventaglio interessante. C0015 è un'intrusione ransomware classica con la triade Bazar → Cobalt Strike → Conti e l'uso del modulo ShareFinder di PowerView. Operation Wocao (C0014) rappresenta il cyber-espionage cinese su scala globale, con target in 10 paesi tra Europa e Americhe. Operation CuckooBees (C0012) si concentra sul furto di proprietà intellettuale in ambito tecnologico e manifatturiero, con attori affiliati ad APT41. Le Leviathan Australian Intrusions (C0049) mostrano un'operazione mirata di esfiltrazione credenziali con focus sull'Australia.

Overlap tra gruppi. Un elemento da monitorare è l'uso condiviso di tool: CrackMapExec (ora rinominato NetExec) compare sia in contesti APT (APT39) che nelle campagne ransomware. Cobalt Strike è presente tanto in C0015 quanto negli arsenali di molteplici gruppi. Quando in un'indagine si osserva enumerazione massiva di share seguita da accesso a documentazione tecnica specifica anziché cifratura, il profilo si sposta decisamente verso lo spionaggio; quando l'enumerazione precede immediatamente operazioni di scrittura su share multiple, il ransomware è lo scenario più probabile.

Un aspetto laterale ma significativo: INC Ransom ha usato Internet Explorer per visualizzare cartelle su altri sistemi, un approccio insolitamente manuale che suggerisce operatori con meno automazione rispetto ai grandi gruppi RaaS.

Framework MITRE ATT&CK v16 — Tecnica T1135, Tattica TA0007. Campagne: C0015, C0014 (Operation Wocao), C0049 (Leviathan Australian Intrusions), C0012 (Operation CuckooBees). Mitigazione M1028. Detection: AN0513, AN0514, AN0515. Integrato con conoscenza professionale per tool e procedure operative.