Rubate i Segreti dal Vault: Password Managers (T1555.005)

Il primo passo è identificare i password manager presenti sul sistema target. Su Windows, cerca i processi caratteristici con:

Get-Process | Where-Object {$_.ProcessName -match "KeePass|1Password|Bitwarden|LastPass"}

Una volta individuato KeePass, il tool più comune in ambiente enterprise, puoi localizzare il database con:

Get-ChildItem -Path C:\ -Recurse -Filter ".kdbx" -ErrorAction SilentlyContinue*

L'estrazione della master password richiede un approccio mirato alla memoria del processo. Storm-0501 ha dimostrato l'efficacia di PowerShell per questo scopo, utilizzando script come Find-KeePassConfig.ps1 che analizza la memoria alla ricerca di pattern specifici.

Su Linux, l'approccio cambia leggermente. KeePassXC memorizza temporaneamente le credenziali decriptate, rendendo possibile l'estrazione tramite:

gdb -p $(pgrep keepassxc) -batch -ex "dump memory keepass.dump 0x00000000 0xFFFFFFFF" -ex quit

L'analisi del dump richiede pazienza ma può rivelare credenziali in chiaro. Tools come mimikatz su Windows o LaZagne multipiattaforma automatizzano questo processo, cercando pattern noti nei dump di memoria.

Per i browser che integrano password manager, l'approccio è diverso. Chrome e Firefox memorizzano le credenziali in database SQLite locali, accessibili quando il browser è in esecuzione. InvisibleFerret ha dimostrato come questi dati possano essere esfiltrati via Telegram o FTP utilizzando comandi personalizzati come ssh_zcp.

Il brute forcing della master password rappresenta l'ultima risorsa quando l'estrazione dalla memoria fallisce. Hashcat supporta il formato KeePass con:

hashcat -m 13400 keepass.hash wordlist.txt

La velocità dipende dalla complessità della password e dalla potenza computazionale disponibile.

La detection efficace richiede il monitoraggio di comportamenti anomali piuttosto che signature statiche. Su Windows, Sysmon Event ID 10 (ProcessAccess) rivela quando un processo tenta di leggere la memoria di KeePass o altri manager.

Configura una regola che triggera quando processi non attendibili accedono a KeePass.exe:

<ProcessAccess onmatch="include">
    <TargetImage condition="contains">KeePass.exe</TargetImage>
    <SourceImage condition="excludes">KeePass.exe</SourceImage>
</ProcessAccess>

Il monitoraggio dei comandi PowerShell (Event ID 4104) cattura tentativi di utilizzare script noti come Find-KeePassConfig.ps1. Cerca pattern come "KeePass", "SecureString" e "memory" nella stessa sessione.

Su Linux, auditd può tracciare accessi anomali ai file vault. Configura una watch rule per i database KeePass:

auditctl -w /home/ -k password_manager_access -p r -F path=.kdbx*

L'uso di gdb o strace su processi di password manager rappresenta un forte indicatore di compromissione. Monitora le system call ptrace associate a questi processi target.

Per ridurre i falsi positivi, crea una baseline dei processi legittimi che interagiscono con i password manager. Gli aggiornamenti software e i plugin del browser generano spesso alert benigni che vanno filtrati.

La correlazione temporale è cruciale: un accesso al file .kdbx seguito da traffico di rete anomalo verso destinazioni non comuni indica possibile esfiltrazione. UNC3886 ha dimostrato come questi pattern possano essere mascherati usando canali di comunicazione legittimi.

L'analisi forense inizia dall'identificazione degli artefatti lasciati dall'accesso ai password manager. Su Windows, esamina il registro MRU (Most Recently Used) per tracce di file .kdbx aperti:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

La Prefetch analysis rivela quando KeePass.exe è stato eseguito e quali file ha accesso. Il file KeePass.exe-[RANDOM].pf contiene timestamp preziosi per la timeline reconstruction.

I VSS (Volume Shadow Copies) possono contenere versioni precedenti del database KeePass, utili per determinare quando sono state aggiunte o modificate credenziali. Confronta gli hash SHA256 tra versioni per identificare cambiamenti.

Su Linux, i file di log di KeePassXC in ~/.cache/keepassxc/ registrano operazioni sensibili. La presenza di dump file anomali in /tmp o /var/tmp suggerisce tentativi di estrazione dalla memoria.

Threat Group-3390 ha lasciato tracce caratteristiche durante l'acquisizione di database KeePass, inclusi tool di compressione per ridurre le dimensioni prima dell'esfiltrazione. Cerca evidenze di 7z, rar o zip contenenti file .kdbx nei log di processo.

L'analisi della memoria volatile può rivelare password in chiaro ancora presenti. Volatility Framework supporta l'estrazione di stringhe dai dump di memoria, cercando pattern come "password=" o credenziali in formato email.

La correlazione con i log di rete è essenziale. Fox Kitten utilizzava script personalizzati che lasciavano tracce nei web server log durante l'esfiltrazione delle credenziali estratte.

LAPSUS$ rappresenta l'evoluzione moderna di questa tecnica, combinando l'accesso ai password manager con tecniche di social engineering per ottenere le master password. Il gruppo si distingue per la velocità di esecuzione e la preferenza per soluzioni cloud-based come LastPass e 1Password.

Scattered Spider dimostra una comprensione profonda delle soluzioni PAM (Privileged Access Management), mirando specificamente a HashiCorp Vault nelle infrastrutture DevOps. La loro firma include l'uso di credenziali legittime per muoversi lateralmente senza destare sospetti.

Indrik Spider, noto per le operazioni ransomware, integra l'estrazione da password manager nella fase di reconnaissance per massimizzare l'impatto. Le credenziali estratte vengono utilizzate per disabilitare backup e sistemi di recovery prima del deployment del ransomware.

L'overlap nei tool utilizzati è significativo: TrickBot appare nell'arsenale di multipli gruppi per l'estrazione automatizzata da KeePass. MarkiRAT e Proton dimostrano l'adattamento della tecnica a piattaforme specifiche, con Proton che mira esplicitamente a 1Password su macOS.

Geograficamente, i gruppi dell'Europa dell'Est preferiscono KeePass per la sua popolarità in ambienti enterprise, mentre gli attori asiatici come UNC3886 mostrano maggiore sofisticazione nell'evasione delle detection. Storm-0501 utilizza PowerShell nativi per ridurre l'impronta forense.

Il trend emergente mostra uno spostamento verso password manager cloud e soluzioni PAM enterprise. Gli attaccanti evolvono le tecniche per includere token di autenticazione e session hijacking quando l'accesso diretto al database fallisce.

Questa analisi si basa sul framework MITRE ATT&CK, tecnica T1555.005. Le campagne documentate includono Operation Wocao (2017-2019). Risorse aggiuntive per detection: Sysmon configuration per password manager monitoring, Sigma rules per SIEM integration, specifiche tecniche per DET0597.