Ricognizione Password: Password Policy Discovery (T1201)

Su Windows, il comando classico è net accounts. Eseguilo localmente per vedere la policy della macchina, oppure net accounts /domain per quella del dominio. PowerShell offre alternative più dettagliate: Get-ADDefaultDomainPasswordPolicy restituisce un oggetto ricco di proprietà come ComplexityEnabled e MinPasswordLength.

Linux richiede un approccio diverso. Il comando chage -l username mostra le policy di scadenza per un utente specifico. Per requisiti di complessità, dovrai esplorare la configurazione PAM con cat /etc/pam.d/common-password o grep password /etc/security/pwquality.conf.

Su macOS, pwpolicy getaccountpolicies è il punto di partenza. L'output XML può essere verboso, quindi prepara un parser. Per policy di dominio in ambiente enterprise, potresti dover interrogare Open Directory.

CrackMapExec automatizza il processo cross-platform. Lancia crackmapexec smb 192.168.1.0/24 --pass-pol per enumerare le policy su un'intera subnet Windows. PoshC2 include il comando Get-PassPol per operazioni post-exploitation più discrete.

L'escalation naturale dopo questa ricognizione è generare wordlist conformi alla policy scoperta. Se MinPasswordLength è 12 e ComplexityEnabled è true, costruisci pattern come "Primavera2024!" che rispettano i requisiti ma rimangono prevedibili. Tools come Kwampirs integrano questa logica direttamente nel malware.

Il monitoraggio deve catturare la sequenza completa, non solo il comando isolato. Su Windows, correla l'EventCode 4688 (process creation) che mostra net.exe con parametro "accounts", seguito da EventCode 4624 (logon) anomali entro 15-30 minuti. Questa catena indica possibile ricognizione pre-attacco.

PowerShell richiede attenzione ai ScriptBlock (EventCode 4104). Cerca pattern come "Get-ADDefaultDomainPasswordPolicy" o "Get-ADFineGrainedPasswordPolicy". L'esecuzione da workstation utente invece che da server amministrativi alza immediatamente il rischio.

Su Linux, configura auditd per monitorare esecuzioni di chage e letture di /etc/pam.d/. La regola base: -a always,exit -F path=/etc/pam.d/common-password -F perm=r. Correla con comandi di enumerazione utenti eseguiti dalla stessa sessione.

I falsi positivi arrivano principalmente da script di hardening e tool di compliance. Crea una allowlist per account di servizio legittimi e host di gestione. La chiave è il contesto: un admin che esegue net accounts dal suo desktop è normale, un servizio web che lo fa no.

Cloud e SaaS richiedono parsing dei log nativi. In AWS CloudTrail, l'API call "GetAccountPasswordPolicy" seguito da "CreateUser" o "UpdateLoginProfile" forma un pattern ad alto rischio. Microsoft 365 Unified Audit Log cattura "Get-MsolPasswordPolicy" - correlalo con modifiche tenant successive.

Windows conserva tracce multiple dell'enumerazione policy. Il registro di sistema mantiene in HKLM\SAM\SAM\Domains\Account i timestamp degli ultimi accessi. Security.evtx contiene gli eventi 4688 con command line completa se l'audit è configurato correttamente.

L'analisi della Prefetch può rivelare esecuzioni ripetute di net.exe con timing sospetti. Il file NET.EXE-{hash}.pf contiene timestamp e count delle esecuzioni. Cerca pattern di esecuzioni ravvicinate che suggeriscono script automatizzati.

Operation CuckooBees ha dimostrato come gli attaccanti integrano questa ricognizione nelle fasi iniziali. I forensic analyst hanno trovato script batch che concatenavano net accounts, net user e net group in sequenze di discovery automatizzate.

Su Linux, bash history è la fonte primaria, ma attaccanti esperti la puliscono. I log di auditd in /var/log/audit/audit.log sono più affidabili. Cerca syscall execve con exe="/usr/bin/chage" o accessi a file PAM. Il campo auid (audit user ID) collega azioni alla sessione originale anche attraverso sudo.

La correlazione temporale è cruciale. Se trovi policy discovery alle 14:30, cerca attività di password spraying o creazione account backdoor nelle ore successive. Gli attaccanti raramente raccolgono informazioni senza usarle.

Turla integra policy discovery nelle prime fasi post-compromissione. Il gruppo russo usa tipicamente net accounts /domain tramite script PowerShell offuscati. La scoperta di questo comando nei log suggerisce preparazione per movimento laterale con credenziali valide.

OilRig preferisce script batch che concatenano comandi net.exe. Il gruppo iraniano spesso nasconde questi script in directory temp con nomi generici come "update.bat". Post-discovery, OilRig tipicamente procede con password spraying mirato su account VPN e webmail.

Chimera si distingue per l'uso di NtdsAudit, tool che va oltre la semplice policy per analizzare debolezze nelle password hashate. Questo suggerisce capacità offensive più mature e obiettivi di lungo termine nella rete target.

L'overlap negli strumenti è significativo: tutti e tre i gruppi fanno affidamento su utility Windows native. Questo riflette una tendenza APT verso "living off the land" per ridurre l'impronta forense. La differenza sta nel post-discovery: Turla punta a persistenza profonda, OilRig a esfiltrazione rapida, Chimera a controllo infrastrutturale.

Geograficamente, l'uso di policy discovery correla con campagne in settori regolamentati (finance, healthcare) dove password complesse sono mandate. APT targeting infrastructure critiche mostrano maggiore investimento in questa ricognizione iniziale.

Framework MITRE ATT&CK documenta T1201 con focus su discovery post-compromissione. Operation CuckooBees (2019-2022) esemplifica l'integrazione di policy discovery in campagne APT mature. Riferimenti forensi da dfir.blog e detection queries da github.com/SigmaHQ/sigma forniscono implementazioni pratiche.