Porte Non Standard: Non-Standard Port (T1571)

La simulazione di comunicazioni C2 su porte non standard richiede una comprensione profonda delle tecniche di binding e tunneling. Iniziamo con un listener Python che emula il comportamento di Lazarus Group, noto per utilizzare liste ordinate di porte alternative.

Su Windows, possiamo creare rapidamente un listener HTTP sulla porta 8080: python -m http.server 8080 --bind 0.0.0.0

Per testare comunicazioni più sofisticate come quelle di APT32, che usa HTTP su porta 14146, configuriamo un reverse proxy con socat: socat TCP4-LISTEN:14146,fork TCP4:targetserver:80

La tecnica diventa interessante quando replichiamo il comportamento di TrickBot, che invia dati non cifrati sulla porta 443. Questo crea un'anomalia facilmente rilevabile ma spesso ignorata dai controlli superficiali. Configuriamo netcat per ascoltare su una porta HTTPS standard con protocollo non standard: nc -lvnp 443

Per simulare il FakeTLS usato da BADCALL e HARDRAIN, possiamo utilizzare stunnel in modalità server con certificati self-signed: stunnel -d 443 -r localhost:4444 -p cert.pem

Su Linux, replichiamo il comportamento di Rocke che utilizza la porta 51640 per il suo miner. Creiamo uno script che apre connessioni su porte casuali ad alto numero:

#!/bin/bash
for port in $(shuf -i 30000-65535 -n 5); do
    timeout 2 nc -zv target.com $port 2>&1 | grep succeeded
done

La persistenza viene garantita modificando le regole firewall. Su Windows, aggiungiamo eccezioni per porte specifiche come fa FIN7: netsh advfirewall firewall add rule name="CustomC2" dir=in action=allow protocol=TCP localport=59999

Per macOS, simuliamo OSX_OCEANLOTUS.D che usa un protocollo binario custom sulla 443: sudo pfctl -e && echo "pass in proto tcp from any to any port 443" | sudo pfctl -f -

La catena completa prevede l'uso di redirector intermedi. Configuriamo un tunnel SSH su porta non standard come Sandworm Team (porta 6789): ssh -p 6789 -D 9050 user@redirector

L'aspetto cruciale è la randomizzazione delle porte. PlugX eccelle in questo, selezionando porte casuali ad ogni connessione. Implementiamo questa logica in PowerShell:

$port = Get-Random -Minimum 40000 -Maximum 65535
$listener = [System.Net.Sockets.TcpListener]$port
$listener.Start()

La detection di porte non standard richiede un approccio basato su baseline comportamentali piuttosto che su blacklist statiche. Il primo passo è definire cosa costituisce "normale" nel vostro ambiente.

Monitorate i processi che iniziano connessioni outbound su porte inusuali. Sysmon EventID 3 cattura le connessioni di rete, permettendo di correlare processo e porta utilizzata. Un alert efficace identifica quando svchost.exe o applicazioni Office utilizzano porte superiori a 10000.

La configurazione Sigma per rilevare questo comportamento anomalo focalizza su processi legittimi che usano porte sospette:

detection:
    selection:
        EventID: 3
        Image|endswith:
            - '\svchost.exe'
            - '\winword.exe'
            - '\excel.exe'
        DestinationPort: '>10000'
    filter:
        DestinationPort:
            - '135'
            - '445'
            - '3389'

Per Linux, auditd fornisce visibilità sulle syscall di binding. Monitorate la syscall bind() per identificare servizi che ascoltano su porte non documentate. Gamaredon Group usa la porta 6856, facilmente identificabile se non fa parte del vostro baseline.

L'entropia del payload è un indicatore sottovalutato. Traffico HTTP genuino su porta 8080 ha caratteristiche diverse da un tunnel cifrato. Calcolate l'entropia dei primi 1KB di ogni flusso per identificare anomalie come quelle generate da Metamorfo sulla porta 9999.

La correlazione temporale riduce i falsi positivi. Se un processo viene creato e apre immediatamente una connessione su porta non standard, l'alert guadagna priorità. Covenant permette configurazioni flessibili, quindi cercate pattern di connessioni multiple su porte sequenziali.

Per ESXi, i log vpxd rivelano comunicazioni anomale dei processi di gestione. Servizi VMware hanno porte ben definite; qualsiasi deviazione indica potenziale compromissione come nel caso di KV Botnet Activity che genera porte casuali sopra 30000.

Non sottovalutate le porte "quasi standard". Emotet usa porta 20 (FTP-DATA) per HTTP, sfruttando il fatto che molti firewall permettono questa porta. Create alert specifici per protocol-port mismatch piuttosto che solo per porte alte.

La gestione dei falsi positivi richiede allowlist dinamiche. Documentate applicazioni legittime che usano porte non standard e aggiornatele mensilmente. Software di backup e strumenti di gestione remota sono comuni fonte di rumore.

L'analisi forense di comunicazioni su porte non standard inizia sempre dai log di Windows Firewall. Il file pfirewall.log registra connessioni bloccate e permesse, rivelando tentativi di comunicazione anche quando il malware fallisce.

Le chiavi di registro contengono tracce permanenti delle modifiche alle porte. Esaminate: *HKLM\SYSTEM\CurrentControlSet\Services*

Qui APT33 lascia configurazioni per HTTP su porte 808 e 880. La timestamp della chiave indica quando è stata configurata la persistenza.

Per ricostruire la timeline completa, correlate gli artefatti di esecuzione con quelli di rete. Prefetch files mostrano quando un eseguibile è stato lanciato, mentre SRUM (System Resource Usage Monitor) registra il volume di dati trasferiti per processo, inclusa la porta utilizzata.

La memoria volatile conserva socket aperti e relative porte. Utilizzate Volatility per estrarre connessioni attive al momento del dump: volatility -f memory.raw --profile=Win10x64 netscan

Questo rivela backdoor come njRAT attive sulla porta 1177 anche se i log sono stati cancellati.

Su Linux, /var/log/audit/audit.log contiene record dettagliati di ogni tentativo di binding. Cercate pattern come: type=SYSCALL msg=audit syscall=49 success=yes

La syscall 49 corrisponde a bind(), seguita dall'indirizzo e porta. StrongPity lascia tracce usando HTTPS sulla porta 1402, facilmente identificabile in questi log.

I file di configurazione dei malware spesso contengono liste di porte hardcoded. VIRTUALPITA usa porte come 2233, 7475 e 18098, memorizzate in cleartext nel binario. Strings analysis rivela rapidamente questi indicatori.

Per campagne prolungate come Operation Wocao, la timeline si estende per mesi. Analizzate i backup incrementali per identificare quando sono apparse le prime modifiche alle configurazioni di rete. Le porte 25667 e 47000 usate in questa operazione appaiono prima nelle regole firewall, poi nei log di connessione.

La correlazione con DNS queries fornisce contesto aggiuntivo. Malware che usa porte non standard spesso contatta domini con TTL brevi. GoldenSpy combina porte multiple (9005, 9006, 9002) con richieste DNS frequenti, creando un pattern forense distintivo.

Lazarus Group rappresenta l'archetipo dell'uso sofisticato di porte non standard. Il gruppo utilizza algoritmi di selezione porta che seguono sequenze matematiche, permettendo al malware di tentare connessioni su porte predefinite in ordine specifico. Questa tecnica garantisce ridondanza mantenendo prevedibilità per l'infrastruttura C2.

APT32 mostra preferenza per porte che mimano servizi legittimi ma obsoleti. La porta 14146 ricorda servizi legacy, riducendo sospetti in ambienti con debito tecnico. Il gruppo targeting primariamente il Sud-Est asiatico, adatta le porte based su comuni configurazioni regionali di firewall.

I gruppi iraniani come Magic Hound e APT33 condividono pattern interessanti. Entrambi usano porte nell'intervallo 800-900 (Magic Hound: 4443, 10151; APT33: 808, 880), suggerendo possibile condivisione di tool o formazione comune. Questa sovrapposizione indica coordinamento nell'ecosistema iraniano di cyber operazioni.

FIN7 dimostra approccio pragmatico orientato al profitto. Le porte 59999 e 9898 sono scelte per massima probabilità di essere permesse in ambienti corporate con firewall permissivi. Il gruppo testa sistematicamente quali porte sono aperte prima di stabilire C2 permanente.

L'evoluzione geografica è evidente in RedEcho e operazioni contro infrastrutture critiche indiane. L'uso della porta 8080 riflette la prevalenza di proxy web in ambienti enterprise indiani. I threat actor adattano le tecniche based su architetture di rete regionali comuni.

Le campagne recenti mostrano trend verso automazione nella selezione porte. Quad7 Activity e KV Botnet Activity generano porte casuali sopra 30000, indicando shift verso infrastrutture C2 più resilienti e difficili da bloccare preventivamente.

L'overlap di tool tra gruppi suggerisce marketplace di malware-as-a-service. PlugX appare in arsenali di Velvet Ant e altri, sempre con pattern di porte random ad alto numero. Questo indica sia condivisione di codice che best practice consolidate.

Analisi basata su MITRE ATT&CK Framework per tecnica T1571. Dati di detection strategy riferimento DET0227. Campagne documentate includono Operation Wocao, Indian Critical Infrastructure, e Quad7 Activity.