Registrazione Dispositivi Non Autorizzati: Device Registration (T1098.005)

La simulazione di device enrollment richiede prima l'acquisizione di credenziali valide attraverso password spraying o phishing. Una volta ottenute, il processo varia in base alla piattaforma target.

Per Azure AD/Entra ID, lo strumento AADInternals fornisce capacità complete di registrazione dispositivi. Dopo l'installazione del modulo PowerShell, l'autenticazione avviene con:

Install-Module AADInternals
$cred = Get-Credential
Get-AADIntAccessTokenForAADGraph -Credentials $cred

La registrazione del dispositivo segue immediatamente:

Join-AADIntDeviceToAzureAD -DeviceName "DESKTOP-ATTACKER" -DeviceType "Windows" -OSVersion "10.0.19041.0"

Per sistemi Okta, l'enrollment sfrutta le API REST dopo aver ottenuto un token di sessione valido. Il processo richiede l'invio di una richiesta POST all'endpoint di enrollment con i dettagli del dispositivo fittizio.

Durante la campagna SolarWinds Compromise, APT29 ha dimostrato l'efficacia di questa tecnica registrando dispositivi per abilitare la sincronizzazione delle mailbox tramite il comando Set-CASMailbox. Questo permetteva accesso persistente alle email aziendali anche dopo il reset delle password.

La campagna C0027 di Scattered Spider ha evidenziato un approccio diverso, registrando dispositivi MFA per mantenere la persistenza attraverso le VPN delle vittime. L'attaccante combinava social engineering e SIM swapping per ottenere l'accesso iniziale, poi consolidava la posizione attraverso device enrollment.

In laboratorio, simula l'intera catena verificando prima gli account dormienti senza MFA attivo, poi procedendo con la registrazione. Monitora i log di Azure AD per comprendere quali tracce lascia l'attività.

La detection efficace richiede monitoraggio multi-livello dei log di identity provider e sistemi di gestione dispositivi. La regola DET0036 fornisce una base solida per identificare registrazioni sospette.

Per Azure AD, configura alert sui log azure:audit e ApplicationLog:EntraIDPortal cercando eventi di device enrollment da IP esterni o in orari anomali. L'analytic AN0103 suggerisce di definire una baseline degli utenti amministrativi autorizzati e degli orari di enrollment legittimi.

Eventi Windows critici includono EventCode 4741 per la creazione di computer account e modifiche ai gruppi di sicurezza correlati. L'analytic AN0104 raccomanda di monitorare pattern anomali nei nomi dispositivi, come sequenze alfanumeriche casuali o naming convention non aziendali.

La correlazione temporale è fondamentale: registrazioni che avvengono subito dopo attività di password reset o da geolocalizzazioni inusuali devono generare alert ad alta priorità. Implementa logiche che confrontano la location della registrazione con gli accessi precedenti dell'utente.

Per ridurre i falsi positivi, mantieni whitelist dinamiche basate su:

• Range IP aziendali per registrazioni legittime
• Finestre temporali di onboarding massivo
• Pattern di naming convention approvati
• Metodi di enrollment autorizzati (MDM vs manuale)

Integra gli alert con il contesto UEBA per identificare comportamenti anomali post-registrazione, come accesso immediato a risorse sensibili o download massivi di dati.

L'analisi forense di device registration abuse richiede l'esame coordinato di molteplici fonti di log per ricostruire l'intera sequenza di compromissione.

In Azure AD, i log di audit contengono dettagli granulari su ogni registrazione dispositivo, inclusi timestamp, IP sorgente, user agent e metodo di autenticazione utilizzato. Eventi chiave includono "Add device" e "Update device" con particolare attenzione ai campi ActorUserPrincipalName e TargetResources.

Per sistemi Windows joined ad Azure AD, esamina:

• Registry keys sotto HKLM\SYSTEM\CurrentControlSet\Control\CloudDomainJoin
• Event logs di Microsoft-Windows-User Device Registration
• Certificati dispositivo in Local Machine\Personal

La timeline reconstruction deve correlare la registrazione con attività precedenti e successive. Durante SolarWinds Compromise, APT29 mostrava pattern chiari: compromissione account dormiente, registrazione dispositivo entro 24-48 ore, poi configurazione mailbox sync.

Gli artefatti di Intune enrollment risiedono nei log MDM e nelle policy scaricate localmente. Cerca tracce di enrollment non standard attraverso script o tool automatizzati invece che tramite il portale aziendale.

Per piattaforme MFA standalone, recupera i log API che documentano ogni chiamata di enrollment. Okta e Duo mantengono audit trail dettagliati accessibili via admin console o SIEM integration.

La ricostruzione deve identificare il vettore iniziale di compromissione delle credenziali, spesso rivelato da tentativi di autenticazione falliti o pattern di password spraying nei giorni precedenti la registrazione.

APT29 rimane l'attore principale documentato per l'abuso sistematico di device registration. Il gruppo russo, legato all'SVR, ha perfezionato questa tecnica durante la campagna SolarWinds Compromise tra il 2019 e il 2021.

Il profilo operativo mostra preferenza per account dormienti o con privilegi elevati ma sottoutilizzati. APT29 registra dispositivi specificamente per abilitare funzionalità di accesso remoto come la sincronizzazione email, permettendo esfiltrazione silenziosa di dati sensibili.

Scattered Spider, attivo nella campagna C0027 del 2022, rappresenta un'evoluzione della tecnica verso obiettivi finanziari. Il gruppo combina social engineering avanzato con device registration per mantenere accesso persistente a provider telecom e BPO.

I pattern geografici mostrano concentrazione di attività in Nord America ed Europa, con vittime nei settori governo, consulenza, tecnologia e telecomunicazioni. La sovrapposizione di tool include AADInternals per operazioni Azure-focused.

L'evoluzione prevista include:

• Automazione massiva di device registration per attacchi Service Exhaustion
• Sfruttamento di device virtuali per bypassare controlli hardware-based
• Integrazione con campagne di Internal Spearphishing usando device trusted
• Target su piattaforme MFA emergenti con controlli meno maturi

Il monitoraggio di forum underground mostra crescente interesse per tool e tecniche di device enrollment abuse, suggerendo adozione più ampia nei prossimi 12-18 mesi.

Framework MITRE ATT&CK documenta questa tecnica come T1098.005 con focus su persistence e privilege escalation. Le campagne SolarWinds Compromise e C0027 forniscono casi studio dettagliati. Microsoft e CISA pubblicano guidance specifica per Azure AD device registration security.