Travestirsi da Traffico Legittimo: Protocol or Service Impersonation (T1001.003)

Il cuore di questa tecnica è l'inganno a livello di protocollo: il red teamer deve dimostrare che il traffico C2 attraversa i controlli di rete senza generare alert. Il tool più immediato per questa simulazione è Cobalt Strike (a pagamento), che supporta nativamente i cosiddetti Malleable C2 Profiles — file di configurazione che definiscono come il beacon formatta le proprie comunicazioni HTTP, dove nasconde i dati (header, cookie, body, URI) e quale User-Agent presentare.

Un profilo Malleable ben costruito trasforma il traffico del beacon in qualcosa di indistinguibile da una richiesta verso un servizio cloud. L'operatore può specificare URI che imitano endpoint reali di aggiornamento software, inserire cookie con nomi plausibili e manipolare header come Host, Referer e Content-Type. Per caricare un profilo personalizzato all'avvio del team server:

./teamserver <IP> <percorso-profilo.profile>

Per chi preferisce un'alternativa open source, Sliver C2 (open source) consente di configurare connessioni HTTPS con certificati personalizzati e traffic shaping. Il comando per generare un impianto HTTPS:

sliver > generate --http --save

La simulazione del FakeTLS — tecnica chiave di questo scenario — richiede un approccio più artigianale. Con Python e la libreria socket, si può costruire un pacchetto che apre una connessione TCP e invia byte iniziali che imitano un TLS record header (\x17\x03\x03) seguiti da payload arbitrario. Questo simula esattamente ciò che fanno TONESHELL, PUBLOAD e StarProxy. Il test verifica se i sensori di rete riconoscono la sessione come TLS legittimo o la segnalano come anomala.

Un altro vettore da validare è la manipolazione dei cookie HTTP. Lo scenario FRAMESTING è un caso emblematico: il malware usa un cookie chiamato DSID, identico a quello impiegato da Ivanti Connect Secure per le sessioni VPN. In laboratorio, si può configurare un listener Cobalt Strike il cui profilo Malleable inserisca dati C2 nel cookie DSID e instradi le richieste verso un path che imita il portale VPN.

Per misurare l'efficacia dell'evasione, si esegue il traffico simulato attraverso Suricata (open source) o Zeek (open source) con le regole di default attive, verificando quante sessioni vengono correttamente identificate come anomale. Il confronto tra i fingerprint JA3 del traffico simulato e quelli di sessioni TLS reali — ottenibile tramite lo script JA3 di Salesforce (open source) — fornisce una metrica oggettiva della qualità dell'impersonation.

La sfida qui è distinguere il traffico che sembra legittimo da quello che lo è. Il detection framework per questa tecnica si articola su quattro piattaforme con analytic specifiche, e il filo conduttore è uno: correlazione tra metadati di rete e contesto del processo che genera la connessione.

Su Windows (AN1294), la log source primaria è Sysmon con gli eventi EventCode 3 (Network Connection). L'analytic incrocia le connessioni in uscita con i certificati presentati e gli header HTTP: un processo non-browser che avvia sessioni HTTPS con certificati malformati o issuer sconosciuti è un segnale forte. Il tuning prevede tre parametri chiave: un allowlist per le organizzazioni certificate nell'issuer field (IssuerOrgFilter), un filtro sul contesto utente per escludere account di sistema (UserContext), e un pattern matching sulle anomalie degli header come l'assenza dello User-Agent (HeaderSignatureMatch). La correlazione con i dati NSM (Network Security Monitoring) di tipo Flow completa il quadro.

Su Linux (AN1295), la detection si sposta sui log auditd con record di tipo SYSCALL, cercando binari che avviano sessioni cifrate via OpenSSL o curl verso servizi esterni su porte non coerenti col protocollo dichiarato. Il parametro ProtocolMatchConfidence stabilisce la soglia di mismatch accettabile tra header e comportamento atteso del servizio, mentre TimeWindow definisce la finestra di correlazione tra lo spawn del processo e l'inizio della sessione cifrata.

Su macOS (AN1296), l'attenzione si concentra su applicazioni non firmate che generano traffico spacciandosi per browser, client mail o servizi cloud. Unified Log e osquery forniscono la visibilità necessaria, mentre il confronto tra fingerprint TLS e stringa User-Agent rivela le deviazioni. Il filtro ParentProcessFilter limita le detection ai figli di binari sospetti, riducendo i falsi positivi.

Per ambienti ESXi (AN1297), si monitorano connessioni originate da demoni non standard che imitano traffico HTTP/HTTPS o SNMP con payload irregolari o certificati scaduti. I log hostd combinati con l'ispezione del contenuto di rete permettono il matching contro hash JA3/JA3S noti (TLSFingerprintMatch) e il tuning per porta di servizio attesa (AllowedServicePorts).

La mitigazione preventiva M1031 — Network Intrusion Prevention — resta il controllo cardine: firme IDS/IPS che ispezionano non solo gli header ma il comportamento effettivo della sessione, identificando handshake TLS che non completano la negoziazione o sessioni HTTP i cui pattern di scambio non corrispondono al servizio dichiarato.

L'analisi forense su Protocol or Service Impersonation ruota attorno a due domini: gli artefatti di rete catturati e le tracce host-side che collegano processi specifici al traffico anomalo.

Il primo passo è il recupero dei PCAP. All'interno delle catture, il segnale più caratteristico del FakeTLS è la presenza dei byte 0x17 0x03 0x03 (Content Type: Application Data, TLSv1.2) o 0x17 0x03 0x04 (TLSv1.3) come header di record TLS senza che sia mai avvenuto un handshake completo — nessun ClientHello, nessun ServerHello, nessun scambio di chiavi. TONESHELL, PUBLOAD, StarProxy, FALLCHILL, BADCALL e HARDRAIN presentano tutti questa firma. Con Wireshark (open source) è possibile filtrare queste sessioni:

tcp.payload[0:3] == 17:03:03 && !(tls.handshake)

Questo filtro isola i flussi dove appare il record header TLS Application Data ma non esiste un handshake precedente nella sessione — la firma classica del FakeTLS.

Sul lato host Windows, gli eventi Sysmon EventID 3 conservano la genealogia del processo che ha generato la connessione: image path, PID parent, utente. La correlazione tra il timestamp della connessione e il PCAP permette di ricostruire la catena completa. Per le varianti che manipolano HTTP, come Okrum (dati nel cookie Set-Cookie) o FRAMESTING (cookie DSID), i proxy log e gli SSL inspection log contengono gli header originali.

Su Linux, i record auditd SYSCALL catturano le chiamate connect() e sendto() associate ai socket di rete. Incrociando il PID con il filesystem /proc (o i suoi snapshot se raccolti durante l'incident), si risale al binario responsabile.

La timeline di una compromissione tipica segue questo schema: comparsa di un nuovo binario o DLL (artefatto filesystem con timestamp MACB), primo evento di connessione di rete verso un IP non categorizzato, inizio del pattern FakeTLS o HTTP anomalo nelle catture di rete, e infine le azioni sull'obiettivo (esfiltrazione, movimento laterale) visibili nei log applicativi.

Per la campagna C0017, in cui APT41 configurava gli endpoint URL del backdoor LOWKEY.PASSIVE per mimetizzarsi nel traffico web dell'applicazione compromessa, l'analista deve confrontare i log del web server con il traffico effettivamente generato dagli utenti legittimi: le richieste verso i path usati dal backdoor non avranno corrispondenza nei log di navigazione reale e presenteranno pattern temporali regolari tipici del beaconing.

Velociraptor (open source) consente la raccolta sistematica degli artefatti di rete host-side tramite i suoi artifact di tipo Windows.Network.Netstat e la collezione di eventi Sysmon, facilitando la correlazione massiva su flotte di endpoint.

Il panorama degli attori che sfruttano Protocol or Service Impersonation rivela un pattern chiaro: il FakeTLS è diventato una tecnica condivisa trasversalmente tra gruppi con mandanti e obiettivi diversi, segno che il know-how circola — attraverso tool condivisi, contractor comuni o semplice imitazione.

Lazarus Group (G0032), attribuito alla Corea del Nord, impiega una variante proprietaria di FakeTLS con un metodo di cifratura distinto dal TLS reale. Questa scelta è coerente con la filosofia operativa del gruppo: sviluppo interno di capability custom, resistenza all'analisi anche quando il traffico viene intercettato. Il malware associato include BADCALL, HARDRAIN, TAINTEDSCRIBE e FALLCHILL — tutti accomunati dall'uso di FakeTLS come meccanismo C2. L'ecosistema Lazarus su questa tecnica è dunque vasto e consolidato, con almeno quattro famiglie malware che condividono lo stesso approccio all'evasione di rete. Bankshot aggiunge una variante che genera un handshake TLS falso utilizzando un certificato pubblico reale.

Mustang Panda (G0129), gruppo di spionaggio legato alla Cina e orientato verso target governativi nel Sud-Est asiatico, rappresenta il secondo polo significativo. Il suo arsenale per l'impersonation è particolarmente ricco: PUBLOAD, TONESHELL, StarProxy e BOOKWORM sono tutti documentati su questa tecnica. TONESHELL merita attenzione speciale perché utilizza sia il byte 0x17 0x03 0x03 (TLSv1.2) sia 0x17 0x03 0x04 (TLSv1.3), adattando la simulazione alla versione di TLS più plausibile per l'ambiente target. Questa sofisticazione suggerisce un ciclo di sviluppo attivo con attenzione alla verosimiglianza del traffico generato.

Higaisa (G0126), gruppo meno prolifico ma comunque rilevante, utilizza FakeTLS per il C2, confermando che anche attori con arsenali più contenuti adottano questa tecnica come standard operativo.

La campagna C0017 (maggio 2021 – febbraio 2022) porta un quarto attore nel quadro: APT41, che durante la compromissione di almeno sei reti governative statali USA ha configurato gli endpoint URL di LOWKEY.PASSIVE per imitare il traffico web applicativo dei server compromessi. L'approccio di APT41 differisce dal FakeTLS: qui l'impersonation avviene a livello applicativo, mascherando il backdoor nel contesto specifico dell'applicazione web ospitata sul server vittima.

Il trend emergente è la convergenza di più gruppi verso il FakeTLS come standard de facto per l'evasione C2, con una progressiva sofisticazione che include l'adattamento dinamico alla versione TLS e la manipolazione contestuale degli header. Per l'analista TI, la presenza dei byte signature 0x17 0x03 0x03 o 0x17 0x03 0x04 in sessioni prive di handshake rappresenta un indicatore cross-attore che merita un cluster di tracking dedicato.

Framework MITRE ATT&CK v16 — T1001.003, TA0011, campagna C0017. Tool di detection: Sysmon, Zeek, Suricata, Wireshark, JA3 (Salesforce). Tool offensivi per simulazione: Cobalt Strike, Sliver C2. Analisi forense: Velociraptor. Integrato con conoscenza professionale per tool e procedure operative.