Ricerca di Credenziali nei File: Credentials In Files (T1552.001)

La ricerca di credenziali inizia sempre dai "soliti sospetti". Su Windows, LaZagne automatizza la ricerca in decine di applicazioni:

python lazagne.py all

Per una ricerca manuale più mirata, su Linux cerca nei file di configurazione comuni:

grep -r "password" /etc/ 2>/dev/null find /home -name ".env" -o -name ".conf" 2>/dev/null | xargs grep -i "pass"

I browser sono miniere d'oro. Firefox memorizza le credenziali in logins.json:

cat ~/.mozilla/firefox//logins.json | jq*

Per Chrome su macOS, il database delle password è accessibile (se hai i privilegi):

sqlite3 ~/Library/Application\ Support/Google/Chrome/Default/Login\ Data "SELECT origin_url, username_value, password_value FROM logins"

Negli ambienti containerizzati, i secret sono spesso montati come file. Cerca nei pod Kubernetes:

find /var/run/secrets -type f 2>/dev/null cat /run/secrets/kubernetes.io/serviceaccount/token

Per AWS, le credenziali locali sono il primo obiettivo:

cat ~/.aws/credentials cat ~/.aws/config

Non dimenticare i file di history che potrebbero contenere password passate come argomenti:

history | grep -E "mysql -u|psql|redis-cli"

Il monitoraggio deve concentrarsi su pattern di accesso anomali ai file sensibili. Con Sysmon su Windows, cattura l'accesso a file critici (EventID 11):

<FileCreate onmatch="include">
  <TargetFilename condition="contains any">logins.json;Login Data;.aws\credentials</TargetFilename>
</FileCreate>

Su Linux con auditd, monitora l'accesso a directory sensibili:

auditctl -w /home -p r -k credential_access auditctl -w /etc -p r -k config_access

La correlazione è fondamentale. Un processo che accede a file di credenziali e poi effettua connessioni di rete è altamente sospetto. In Splunk:

index=sysmon EventCode=11 (TargetFilename="*credential*" OR TargetFilename="*.env")
| join ProcessGuid [search index=sysmon EventCode=3 | where _time > relative_time(_time, "-5m")]

Per i container, monitora l'accesso ai mount di secrets. In Kubernetes, abilita l'audit logging e cerca:

- level: RequestResponse
  omitStages: ["RequestReceived"]
  verbs: ["get", "list"]
  resources:
    - group: ""
      resources: ["secrets"]

I falsi positivi sono comuni con software di backup o gestione password. Crea whitelist basate sul processo padre e l'utente, non solo sul nome del processo.

L'analisi forense deve ricostruire quali credenziali sono state compromesse. Su Windows, esamina i Prefetch per identificare l'esecuzione di tool di credential harvesting:

PECmd.exe -d C:\Windows\Prefetch --csv timeline.csv

Cerca tracce nei log di PowerShell (EventID 4104) per comandi di ricerca:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-PowerShell/Operational';ID=4104} | 
Where-Object {$_.Message -match "password|credential"}

Su Linux, analizza i timestamp dei file per identificare accessi sospetti:

find /home -name "." -atime -7 -ls | grep -E "aws|ssh|config"*

Per Firefox, il file key4.db contiene la chiave di decrittazione. Verifica se è stato copiato:

stat ~/.mozilla/firefox//key4.db*

Nei casi di Scattered Spider, cercano specificamente documentazione sulle password. Esamina i file recentemente aperti:

lsof -u username | grep -i "password|vault|keepass"

La timeline deve collegare l'accesso ai file con l'uso successivo delle credenziali. Correla con i log di autenticazione per identificare quando le credenziali rubate sono state utilizzate.

APT3 utilizza tool custom per estrarre credenziali da Firefox e Chrome, indicando capacità di sviluppo avanzate. I loro target primari sono organizzazioni politiche a Hong Kong, suggerendo motivazioni di spionaggio statale.

OilRig (APT34) preferisce LaZagne per la sua versatilità. Operano per conto del governo iraniano, mirando principalmente a settori energetici e telecomunicazioni in Medio Oriente. La loro persistenza nell'uso di tool pubblici indica un approccio pragmatico: perché reinventare la ruota?

MuddyWater, subordinato al MOIS iraniano, cerca credenziali email per facilitare spear-phishing interno. Hanno colpito telecomunicazioni e governo locale in Africa, Asia ed Europa, espandendo costantemente il loro raggio d'azione geografico.

Scattered Spider rappresenta l'evoluzione del cybercrime. Madrelingua inglesi che combinano social engineering avanzato con ricerca sistematica di documentazione sulle password. Dal 2023 hanno aggiunto ransomware al loro arsenale, mirando a MSP e servizi finanziari per massimizzare l'impatto.

I tool comuni tra questi gruppi - LaZagne, Mimikatz, custom Chrome scrapers - indicano una convergenza nelle TTP. Il trend emergente è l'automazione della ricerca in ambienti cloud e container, anticipando lo shift delle infrastrutture target.

Framework MITRE ATT&CK per la tecnica T1552.001, rapporti di FireEye su APT3 Operation Clandestine Wolf, analisi di CrowdStrike su Scattered Spider, ricerche di Unit 42 su TeamTNT e Hildegard. Documentazione di LaZagne e studi di caso di compromissioni cloud-native.