Password Cracking: Brute Force - Password Cracking (T1110.002)

Il primo passo consiste nell'ottenere gli hash. Su Windows, dopo aver compromesso un sistema con privilegi elevati, puoi estrarre il database SAM con reg save HKLM\SAM sam.save seguito da reg save HKLM\SYSTEM system.save. Per domini Active Directory, il target diventa ntds.dit.

Una volta trasferiti gli hash su un sistema di cracking dedicato, Hashcat rappresenta lo strumento più versatile. Per NTLM hashes Windows, il comando base è hashcat -m 1000 -a 0 hash.txt wordlist.txt. L'opzione -m specifica il tipo di hash, mentre -a definisce la modalità d'attacco.

Le GPU moderne accelerano drasticamente il processo. Con una RTX 4090, è possibile testare oltre 100 miliardi di hash NTLM al secondo. Per massimizzare l'efficacia, combina wordlist specializzate come rockyou.txt con regole di mutazione: hashcat -m 1000 hash.txt wordlist.txt -r rules/best64.rule.

Su Linux, gli hash shadow richiedono un approccio diverso. Dopo aver estratto /etc/shadow, usa john --wordlist=/usr/share/wordlists/rockyou.txt shadow.txt. John the Ripper identifica automaticamente il formato hash e applica ottimizzazioni appropriate.

Per hash di network device, strumenti come CrackMapExec integrano capacità di cracking con movimento laterale. Il comando crackmapexec smb 192.168.1.0/24 -u user -H hash tenta automaticamente l'autenticazione con hash craccati.

Le rainbow table accelerano il processo per hash non salted. Tool come Ophcrack includono table precompilate per LM hash Windows, permettendo recovery istantaneo di password fino a 14 caratteri.

La detection efficace si basa sul riconoscimento di pattern comportamentali post-dumping. Monitora l'esecuzione di processi con nomi caratteristici come hashcat.exe o john.exe attraverso Sysmon EventID 1, prestando attenzione al contesto di esecuzione.

Un indicatore affidabile è l'accesso anomalo a file di hash dumped. Configura alert per accessi a percorsi come C:\Windows\Temp\sam.save o /tmp/shadow.bak tramite Sysmon EventID 11. La correlazione temporale tra credential dumping e questi accessi riduce i falsi positivi.

Il consumo anomalo di risorse rappresenta un altro vettore di detection. Tool di cracking generano carichi CPU o GPU sostenuti, rilevabili attraverso performance counter. Su Linux, monitora processi con nice value alterati che consumano oltre l'80% di CPU per periodi prolungati.

Per Azure e cloud provider, la detection si sposta sul riutilizzo delle credenziali craccate. Implementa alert per login riusciti da account precedentemente compromessi, specialmente se provenienti da località geografiche anomale. La finestra temporale critica è generalmente 24-72 ore dopo il dumping iniziale.

Gli alert devono considerare il contesto aziendale. In ambienti DevOps, l'uso legittimo di tool come John per password audit genera falsi positivi. Implementa whitelist basate su utenti autorizzati e percorsi di esecuzione approvati.

La correlazione multi-sorgente aumenta l'accuratezza. Combina indicatori da endpoint (esecuzione tool), rete (trasferimento hash) e identity provider (login anomali) per costruire alert ad alta fedeltà che richiedono intervento immediato.

L'analisi forense del password cracking richiede attenzione ai dettagli temporali. Su Windows, esamina Prefetch files per identificare esecuzioni di tool di cracking. I file .pf in C:\Windows\Prefetch contengono timestamp e contatori di esecuzione per hashcat.exe o simili.

Gli artefatti di file system rivelano il workflow dell'attaccante. Cerca file temporanei contenenti hash estratti, wordlist caricate e output di password craccate. La MFT analysis può rivelare file cancellati ma ancora recuperabili nel $J journal.

Per ricostruire l'origine degli hash, correla con eventi di credential dumping precedenti. Security EventID 4688 mostra l'esecuzione di tool come mimikatz, mentre EventID 4662 registra accessi a oggetti sensibili come ntds.dit.

L'analisi della campagna Night Dragon dimostra pattern ricorrenti. Gli attaccanti utilizzarono Cain & Abel lasciando tracce distintive nel registro di Windows sotto HKLM\Software. Le chiavi di configurazione del tool persistono anche dopo la disinstallazione.

Su Linux, examina .bash_history per comandi di cracking e file in /tmp o /var/tmp. Il comando ausearch -f /etc/shadow rivela accessi al file delle password, mentre /var/log/auth.log contiene tentativi di autenticazione con credenziali craccate.

La timeline reconstruction deve collegare quattro fasi chiave: compromissione iniziale, credential dumping, trasferimento hash per cracking offline, e riutilizzo credenziali craccate. Ogni fase lascia artefatti distintivi che permettono di ricostruire l'intera catena di attacco.

APT3 rappresenta il caso d'uso più sofisticato del password cracking. Il gruppo utilizza questa tecnica come parte di campagne di cyber-espionage a lungo termine, craccando metodicamente hash per mantenere persistenza anche dopo password reset parziali.

Dragonfly combina tool pubblici come Hydra con CrackMapExec, indicando un approccio pragmatico che privilegia l'efficacia sulla stealth. La loro preferenza per tool open source suggerisce operazioni distribuite dove l'attribuzione tramite tool proprietari rappresenta un rischio.

FIN6 focalizza il cracking su hash estratti da ntds.dit, mirando specificamente a credenziali di dominio con privilegi elevati. Questo pattern indica obiettivi finanziari dove l'accesso a sistemi di pagamento richiede credenziali valide piuttosto che semplici hash.

Salt Typhoon si distingue per il targeting di network device. Il gruppo cracca password da configurazioni di router e switch compromessi, suggerendo capacità di movimento attraverso infrastrutture di rete piuttosto che solo endpoint.

L'overlap negli strumenti utilizzati è significativo. Tre dei quattro gruppi utilizzano varianti di Hashcat, indicando che la commoditization degli strumenti di cracking ha livellato le capacità tecniche. La differenziazione avviene ora nella selezione dei target e nell'integrazione con altre tecniche.

I pattern geografici mostrano che gruppi asiatici tendono a investire più risorse computazionali nel cracking, mentre gruppi dell'Europa orientale preferiscono tecniche di password spraying. Questa differenza riflette disponibilità di risorse e tolleranza al rumore operativo.

La tecnica T1110.002 è documentata nel framework MITRE ATT&CK. Le campagne Night Dragon e i profili dei gruppi APT3, Dragonfly, FIN6 e Salt Typhoon forniscono esempi concreti di utilizzo in scenari reali.