Scoprire le Regole delle Password: Password Policy Discovery (T1201)

La simulazione di questa tecnica in laboratorio è una delle più accessibili dell'intero framework, perché si basa quasi interamente su strumenti nativi dei sistemi operativi. L'obiettivo è replicare le stesse catene operative usate da gruppi reali per estrarre le configurazioni di lockout, complessità e scadenza delle credenziali.

Su un ambiente Windows con dominio Active Directory, il punto di partenza è il classico binario net.exe. Il comando è quello usato da OilRig e Turla nelle loro operazioni:

net accounts /domain

L'output restituisce in chiaro la durata del lockout, la soglia di tentativi falliti e la lunghezza minima della password. Per ottenere informazioni più granulari tramite PowerShell, la cmdlet nativa dei moduli AD è la scelta naturale:

Get-ADDefaultDomainPasswordPolicy

Questa restituisce anche la complessità richiesta e lo storico delle password. Un'alternativa che non richiede il modulo AD è esportare le security settings locali con secedit:

secedit /export /cfg C:\temp\secpol.cfg /areas SECURITYPOLICY

Il file risultante contiene tutte le policy in formato testuale, facilmente parsabile.

CrackMapExec (open source — nota: il progetto è stato rinominato in NetExec nel repository attuale) permette di enumerare la password policy da remoto senza toccare il disco della macchina target, operando via SMB:

nxc smb -u -p --pass-pol

PoshC2 (open source), il framework C2 sviluppato da Nettitude, include la funzione Get-PassPol che automatizza il recupero delle policy di dominio direttamente dalla sessione dell'implant.

Su Linux, le informazioni risiedono nei file di configurazione PAM e nei parametri di login.defs:

chage -l cat /etc/pam.d/common-password grep -i "^PASS" /etc/login.defs

Su macOS il comando dedicato è:

pwpolicy getaccountpolicies

Per ambienti cloud AWS, la CLI nativa è sufficiente:

aws iam get-account-password-policy

Sui dispositivi di rete, comandi come show aaa e show aaa common-criteria policy all espongono la configurazione delle policy di autenticazione. In un red team engagement, concatenare l'output di queste query con un successivo tentativo di password spray calibrato (restando sotto la soglia di lockout scoperta) dimostra l'impatto reale della tecnica.

Il problema principale con la detection di questa tecnica è che i comandi coinvolti sono assolutamente legittimi. Un amministratore di sistema lancia net accounts /domain per verifiche di compliance; un helpdesk controlla le policy prima di resettare una password. La chiave non è intercettare il singolo comando, ma costruire catene comportamentali che distinguano l'attività lecita dalla ricognizione ostile.

La logica di detection si basa su una catena causa-effetto a tre stadi: prima la query sulla password policy, poi eventuali letture LDAP o di directory, infine azioni adiacenti come enumerazione di account, tentativi di autenticazione o movimenti laterali. Se tutto avviene entro una finestra temporale di 15-30 minuti dallo stesso principal, il rischio si alza considerevolmente.

Su Windows, correla tre sorgenti log: Sysmon per la creazione dei processi (con command line che contiene net accounts o secedit /export), PowerShell ScriptBlock Logging per intercettare Get-ADDefaultDomainPasswordPolicy e varianti, e Security log per eventuali letture LDAP successive. Il tuning critico prevede una allowlist per account privilegiati come Helpdesk e la differenziazione per ruolo host: un alert su un domain controller ha peso diverso rispetto alla stessa query originata da una workstation VDI.

Su Linux, auditd è la sorgente primaria. Configura regole execve per intercettare chage e letture su file PAM specifici della distribuzione in uso (i path differiscono tra Debian e RHEL). Presta attenzione al tipo di terminale: un'esecuzione non interattiva da sessione remota merita un peso di rischio superiore rispetto a una sessione TTY locale. Escludi i daemon di sistema che parsano le policy al boot.

Su macOS, il log unificato cattura le esecuzioni di pwpolicy e le letture dei profili di configurazione MDM. Il tuning deve prevedere una lista degli host di management (Jamf, ad esempio) dove queste query sono attese.

Per gli ambienti cloud, CloudTrail in AWS registra ogni chiamata a GetAccountPasswordPolicy. Correla con creazioni di utenti o rotazioni di credenziali dallo stesso principal nella stessa finestra temporale. Filtra i principal delle security tooling che leggono routinariamente le policy.

Infine, per Identity Provider come Microsoft Entra, monitora le letture delle policy di autenticazione via Graph API e correla con assegnazioni di ruolo o consent di app anomali. Il geo-risk è un fattore di tuning prezioso: la stessa query da un IP aziendale e da un exit node TOR hanno significati molto diversi.

L'analisi forense di questa tecnica richiede la ricostruzione precisa del momento in cui l'attaccante ha raccolto informazioni sulle policy, perché quel timestamp marca la transizione dalla fase di orientamento iniziale alla preparazione di attacchi sulle credenziali. Ogni minuto conta nella timeline.

Su Windows, gli artefatti principali risiedono in più sorgenti. Il log Sysmon con EventCode 1 (Process Creation) cattura l'esecuzione di net.exe con gli argomenti accounts /domain. Cerca anche EventCode 1 per processi secedit.exe con parametro /export, che genera un file .cfg sul disco — il file stesso è un artefatto da acquisire. Il PowerShell ScriptBlock log (EventCode 4104) registra l'invocazione di cmdlet come Get-ADDefaultDomainPasswordPolicy, e il testo completo dello script block può rivelare se la query era parte di un framework automatizzato come PoshC2.

Per campagne come Operation CuckooBees (C0012), dove gli operatori hanno usato net accounts durante la fase di ricognizione avanzata, la timeline forense tipica mostra la query sulle policy seguita a breve da enumerazione di account e successiva esfiltrazione di dati sensibili. Il pattern temporale è un indicatore da cercare anche in incidenti non attribuiti.

Un artefatto spesso trascurato è il Prefetch di Windows: il file NET.EXE-xxxxxxxx.pf registra le ultime otto esecuzioni con timestamp, permettendo di stabilire se net.exe è stato invocato più volte in un breve arco temporale — comportamento anomalo per un utente standard. Analogamente, la MFT ($MFT) può rivelare la creazione di file temporanei generati da secedit /export.

Su Linux, le fonti forensi sono auditd (record SYSCALL e EXECVE) per le esecuzioni di chage e letture di file PAM. La bash history, se non è stata cancellata dall'attaccante, può contenere l'intera sequenza di comandi. Verifica anche i timestamp di accesso (atime) su /etc/pam.d/common-password, /etc/security/pwquality.conf e /etc/login.defs: un accesso in lettura fuori dal normale ciclo di boot è sospetto.

Su macOS, il log unificato conserva le esecuzioni di pwpolicy con contesto del processo chiamante. Controlla anche le letture del file com.apple.loginwindow.plist nella directory Library/Preferences.

Per ambienti cloud, CloudTrail fornisce record immutabili delle chiamate API con timestamp, IP sorgente e user agent — informazioni preziose per correlare la ricognizione con le azioni successive. Ricostruisci la sequenza: prima GetAccountPasswordPolicy, poi CreateUser o UpdateLoginProfile, e hai il pattern completo dell'attacco.

La Password Policy Discovery è una tecnica trasversale che appare nel toolkit di gruppi con obiettivi e aree geografiche diverse. La sua presenza in un'intrusione non è un indicatore di attribuzione forte, ma il modo in cui viene combinata con altre tecniche racconta molto sulle intenzioni dell'avversario.

OilRig (G0049) è un gruppo legato a operazioni di cyber-espionage che integra questa tecnica in script automatizzati: l'uso di net.exe con net accounts /domain è parte di una catena di ricognizione che tipicamente precede attacchi alle credenziali. Il pattern di OilRig è metodico — raccoglie prima la policy, poi calibra i tentativi di accesso per restare sotto la soglia di lockout. Questo approccio indica un operatore che punta alla persistenza a lungo termine piuttosto che allo smash-and-grab.

Turla (G0010) utilizza sia net accounts che net accounts /domain, suggerendo un interesse a distinguere tra policy locali e di dominio. Questa doppia query indica un attaccante che esplora la possibilità di pivotare tra macchine con policy diverse, cercando il punto più debole nella catena delle credenziali.

Chimera (G0114) si distingue per l'uso di NtdsAudit, un utility specifica per l'audit del database NTDS.dit. L'approccio è più aggressivo e orientato all'estrazione massiva di informazioni su account e password, non solo alla discovery della policy. Questo suggerisce un operatore che pianifica attacchi offline sugli hash piuttosto che brute force online.

La campagna Operation CuckooBees (C0012), attiva dal 2019 al 2022 e attribuita ad attori affiliati a Winnti Group, APT41 e BARIUM, conferma il pattern: la query net accounts era parte di una ricognizione avanzata in un'operazione di cyber-espionage mirata al furto di proprietà intellettuale in settori tecnologici e manifatturieri tra Asia orientale, Europa occidentale e Nord America.

Il trend che emerge è chiaro: questa tecnica è un precursore affidabile di attacchi alle credenziali. Quando la osservi in un'intrusione, aspettati che il passo successivo sia password spraying, kerberoasting o dump di hash — tutti calibrati sui parametri appena scoperti. L'overlap dei tool è significativo: net.exe è il denominatore comune tra tutti i gruppi, il che rende la detection basata solo sul binario insufficiente. L'analisi deve concentrarsi sulla catena comportamentale successiva alla query, non sulla query stessa.

Framework MITRE ATT&CK v16 — T1201 (Password Policy Discovery), TA0007 (Discovery). Campagna: C0012 (Operation CuckooBees). Gruppi: G0049, G0010, G0114. Software: S0039, S0488, S0236, S0378. Mitigazione: M1027. Detection: DET0161 (AN0455–AN0461). Integrato con conoscenza professionale per tool e procedure operative.