Scansione dei Servizi di Rete: Network Service Discovery (T1046)

La simulazione di attacchi basati sulla scoperta dei servizi richiede un approccio metodico che rispecchi le tattiche degli APT più sofisticati. Iniziamo con gli strumenti che Lazarus Group e FIN13 utilizzano frequentemente.

Il comando base per una scansione TCP completa con nmap diventa: nmap -sS -p- -T4 --min-rate=1000 192.168.1.0/24

Per emulare le tattiche di APT32, che combina fingerprinting del sistema operativo con la scoperta dei servizi, utilizziamo: nmap -sV -O -A --script vuln 10.0.0.0/8

Gli attaccanti spesso preferiscono strumenti più discreti. Chimera ha dimostrato l'efficacia di scanner custom Python. Un approccio simile prevede l'utilizzo di socket nativi per scansioni mirate su porte specifiche, riducendo il rumore di rete.

Su sistemi macOS, la scoperta tramite Bonjour diventa particolarmente interessante. Il comando dns-sd -B _ssh._tcp . rivela immediatamente tutti i servizi SSH pubblicizzati via mDNS nella rete locale. Questa tecnica, silente per natura, bypassa molti sistemi di detection tradizionali.

Per ambienti containerizzati, TeamTNT ha mostrato l'efficacia di masscan combinato con zmap. La sequenza operativa prevede prima l'identificazione di Docker API esposte: masscan -p2375,2376 10.0.0.0/8 --rate=10000

Seguito da una verifica mirata con zgrab per confermare i servizi vulnerabili. L'automazione di questi processi attraverso script bash permette di replicare l'efficienza degli attaccanti reali nel mapping di intere sottoreti in tempi ridotti.

La detection efficace della network service discovery richiede un approccio multi-livello che vada oltre le semplici signature. I falsi positivi rappresentano la sfida principale, considerando che scanner legittimi come Nessus o OpenVAS generano pattern simili agli attacchi.

Il primo livello di detection si basa sul monitoraggio dei EventCode di Sysmon. Eventi di creazione processi (EventID 1) correlati con connessioni di rete sequenziali (EventID 3) verso più di 10 destinazioni IP uniche in 60 secondi costituiscono un indicatore affidabile. La soglia può essere regolata basandosi sul normale traffico aziendale.

Per sistemi Linux, auditd fornisce visibilità sulle syscall di rete. Monitorare socket() e connect() in rapida successione permette di identificare scanning tools. La correlazione con processi che eseguono binari non standard o da path temporanei aumenta significativamente l'accuratezza.

L'analisi comportamentale del traffico di rete rappresenta il secondo livello. Pattern come connessioni TCP SYN senza completamento del three-way handshake, o tentativi sequenziali su porte note (22, 445, 3389, 1433) da un singolo host interno, dovrebbero generare alert immediati. INC Ransom utilizza proprio queste tecniche con NETSCAN.EXE prima del deployment del ransomware.

Per ambienti cloud e container, il monitoring tramite eBPF offre visibilità senza precedenti. Intercettare syscall a livello kernel permette di identificare anche tool custom o offuscati. La chiave sta nel definire baseline comportamentali per namespace e poi alertare su deviazioni significative.

La ricostruzione forense di attività di network scanning richiede l'analisi di molteplici artefatti distribuiti nel tempo. L'esperienza della campagna Operation Wocao dimostra come gli attaccanti utilizzino scanner per mappare progressivamente l'infrastruttura vittima.

Su sistemi Windows, i log di Windows Defender Firewall (Microsoft-Windows-Windows Firewall With Advanced Security) registrano connessioni bloccate che spesso rivelano tentativi di scanning. Eventi con ID 5157 mostrano connessioni bloccate, mentre 5156 documenta quelle permesse. La correlazione temporale di questi eventi da un singolo processo rivela pattern di scanning.

Il Prefetch di Windows mantiene tracce di esecuzione per tool come nmap.exe o netscan.exe. L'analisi del file .pf corrispondente mostra timestamp di esecuzione e risorse accesse. BlackByte lascia frequentemente queste tracce durante le fasi di reconnaissance pre-ransomware.

Per macOS, il parsing di /Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist rivela cronologia di scansioni Wi-Fi, tecnica documentata nell'uso di LightSpy. I log unified di macOS catturano anche query mDNS anomale che possono indicare service discovery via Bonjour.

La ricostruzione della timeline richiede particolare attenzione ai gap temporali. Ember Bear ha dimostrato come le scansioni possano essere distribuite su giorni o settimane per evitare detection. Correlare timestamp di esecuzione tool, connessioni di rete e modifiche al filesystem permette di identificare questi pattern distribuiti.

Gli artefatti di memoria volatile, se disponibili, offrono la visione più completa. Socket aperti, handle di processo e strutture di rete in memoria rivelano attività di scanning anche quando i log sono stati cancellati.

L'analisi dei pattern di utilizzo della network service discovery rivela caratteristiche distintive dei vari gruppi APT. Naikon preferisce LadonGo scanner, indicando sofisticazione nelle operazioni e preferenza per tool Go-based che offrono migliore portabilità cross-platform.

FIN6 e FIN13 mostrano un focus particolare su database SQL, utilizzando osql.exe per query dirette dopo la scoperta iniziale. Questo pattern suggerisce targeting di dati finanziari e sistemi di pagamento. La presenza di scanning su porta 1433 in un ambiente dovrebbe immediatamente alzare il livello di allerta per possibili attacchi financially-motivated.

I gruppi iraniani come Magic Hound (APT35) e Fox Kitten mostrano preferenza per tool pubblici come KPortScan e NMAP, combinati con focus su servizi di autenticazione (LDAP, SMB, RDP). Questo pattern precede tipicamente tentativi di credential harvesting e movimento laterale attraverso protocolli di amministrazione Windows.

Volt Typhoon rappresenta l'evoluzione verso tecniche Living off the Land. L'uso di utility native e appliance già presenti riduce drasticamente gli indicatori di compromissione. La detection richiede focus su anomalie comportamentali piuttosto che su signature di tool specifici.

L'overlap negli strumenti utilizzati suggerisce possibili condivisioni di risorse o fornitori comuni nel cybercrime underground. APT32 e Cobalt Group utilizzano entrambi SoftPerfect Network Scanner, mentre la prevalenza di Cobalt Strike across molteplici gruppi indica la sua efficacia come framework post-exploitation completo.

Analisi basata su MITRE ATT&CK framework, intelligence da campagne Operation Wocao, CostaRicto e HomeLand Justice. Metodologie di detection validate attraverso real-world incident response. Tool coverage include analisi approfondita di Cobalt Strike, Empire, e scanner specializzati documentati in APT operations.