Proxy a Cascata: Multi-hop Proxy (T1090.003)

La simulazione di un attacco multi-hop proxy richiede la comprensione delle diverse tecniche di concatenamento. Il metodo più accessibile utilizza ProxyChains su Linux per creare catene personalizzate di proxy SOCKS.

Configurate ProxyChains modificando il file /etc/proxychains.conf:

dynamic_chain
proxy_dns
tcp_read_time_out 15000
tcp_connect_time_out 8000
[ProxyList]
socks5 127.0.0.1 9050
socks4 192.168.1.100 1080
http 10.0.0.50 8080

Eseguite poi il comando target attraverso la catena: proxychains nmap -sT target.com

Per implementare Tor come layer di offuscamento, installate il servizio e configurate un hidden service. Su sistemi Windows, strumenti come FRP permettono di creare tunnel multipli attraverso proxy intermedi. La sintassi base per il client FRP prevede la configurazione di relay successivi nel file frpc.ini.

Gli attaccanti più sofisticati sfruttano router compromessi come nodi intermedi. Simulare questa tecnica richiede accesso a dispositivi di rete vulnerabili in ambiente controllato. Tool come HTran permettono di configurare port forwarding attraverso host compromessi, creando catene di relay difficili da tracciare.

La creazione di infrastrutture ORB (Operational Relay Box) simula le tecniche dei gruppi APT avanzati. Utilizzate VPS economici in giurisdizioni diverse, configurando su ognuno un proxy minimale. Script Python con la libreria socks permettono di automatizzare la gestione di catene complesse, ruotando i nodi per evitare detection.

La detection del traffico multi-hop richiede un approccio comportamentale piuttosto che signature-based. Monitorate processi che generano connessioni persistenti verso IP noti di infrastrutture Tor o VPN commerciali.

Su sistemi Windows, Sysmon cattura gli eventi cruciali. Create regole per EventCode 3 (connessione di rete) filtrando per processi inusuali che aprono socket verso porte tipiche dei proxy (9050, 9150, 1080). La persistenza di connessioni superiori a 30 minuti verso IP esterni non risolvibili tramite DNS rappresenta un forte indicatore.

L'analisi del traffico di rete rivela pattern distintivi. Connessioni sequenziali verso multipli IP esterni in rapida successione, specialmente se cifrate e senza risoluzione DNS, suggeriscono relay chaining. Implementate threshold dinamici: più di 3 hop in 5 minuti dovrebbe generare un alert di severità media.

Per Linux, auditd fornisce visibilità sui processi. Monitorate esecuzioni di tor, proxychains, chisel o binari custom che aprono socket multipli. La combinazione di connessioni outbound cifrate con processi non standard rappresenta un pattern ad alto rischio.

I falsi positivi derivano principalmente da VPN aziendali legittime e servizi CDN. Create whitelist basate su hash di processi autorizzati e range IP dei provider trusted. L'analisi della baseline del traffico normale permette di definire soglie accurate per anomalie reali.

L'analisi forense di attacchi multi-hop presenta sfide uniche nella ricostruzione temporale. Gli artefatti principali risiedono nei log di connessione e nella memoria dei processi proxy.

Su Windows, esaminate %AppData%\Tor per tracce di installazioni del browser Tor. I prefetch files rivelano esecuzioni ripetute di proxy tools. La chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings può contenere configurazioni proxy persistenti inserite dal malware.

L'analisi della memoria con Volatility permette di estrarre socket aperti e identificare catene di connessioni. Il plugin netscan rivela connessioni attive anche se i processi sono stati terminati. Correlate timestamp delle connessioni con eventi di sistema per ricostruire la sequenza di relay.

Per sistemi Linux, /var/log/auth.log e journal di systemd contengono tracce di servizi proxy avviati. File di configurazione in /etc/proxychains.conf o directory home degli utenti compromessi rivelano l'infrastruttura utilizzata. L'analisi di .bash_history può esporre comandi di tunneling manuale.

La timeline reconstruction richiede correlazione tra host multipli. Durante Operation Wocao, gli analisti hanno tracciato connessioni attraverso 5 nodi Tor prima di identificare il C2 finale. Timestamp UTC sincronizzati tra sistemi sono cruciali per mappare il percorso completo del traffico malevolo.

I pattern di utilizzo del multi-hop proxy rivelano caratteristiche distintive dei gruppi APT. APT28 preferisce combinazioni di Tor e VPN commerciali, alternando l'ordine per evitare fingerprinting. APT29 implementa hidden services Tor custom per accesso remoto completo, forwarding porte RDP e SMB attraverso la rete onion.

Volt Typhoon rappresenta l'evoluzione moderna: catene di router SOHO compromessi in paesi terzi. L'infrastruttura SPACEHOP e FLORAHOX dimostra investimenti statali in reti ORB persistenti. Questi network ibridi combinano VPS affittati legittimamente con dispositivi IoT compromessi, creando resilienza operativa.

I gruppi cinesi mostrano preferenza per infrastrutture P2P decentralizzate. NGLite e NKAbuse abusano del protocollo blockchain NKN per C2, sfruttando la natura distribuita per resistere a takedown. Pattern geografici emergono: relay in paesi con legislazioni privacy favorevoli come Svizzera e Islanda.

Gamaredon Group utilizza Tor per operazioni rapide ma migra a proxy custom per campagne prolungate. La transizione tra tecniche indica fasi operative: reconnaissance via Tor, exploitation attraverso proxy commerciali, persistenza con infrastruttura dedicata. Monitorare questi shift permette di anticipare escalation.

Framework MITRE ATT&CK T1090.003. Campagne documentate: CostaRicto (2019-2020), Operation Wocao (2017-2019), SPACEHOP/FLORAHOX Activity (2019-2024), Quad7 Activity (2023-2025). Risorse detection: Sysmon per Windows, auditd per Linux, analisi comportamentale multi-hop. Mitigazione primaria: M1037 Filter Network Traffic con focus su egress control e protocol filtering.