Scansione di Blocchi IP: Active Scanning - Scanning IP Blocks (T1595.001)

Per simulare scansioni di blocchi IP in ambiente controllato, inizia con tecniche di discovery basilari. Il comando nmap -sn 192.168.1.0/24 esegue un ping sweep per identificare host attivi senza scansione delle porte, ideale per una ricognizione iniziale silenziosa.

Aumenta la granularità con nmap -sS -sV -O 10.0.0.0/24 che combina SYN scan, rilevamento versioni e fingerprinting OS. Questa tecnica replica il comportamento di TeamTNT nell'identificazione di target vulnerabili. Per ambienti cloud, simula scansioni mirate con masscan -p22,80,443,3389,8080 172.16.0.0/12 --rate=1000 che identifica rapidamente servizi comuni su larga scala.

Gli attaccanti avanzati utilizzano tecniche di evasione. Il comando nmap -f -D RND:10 --data-length 24 -T2 203.0.113.0/24 frammente i pacchetti, aggiunge decoy casuali e randomizza la dimensione del payload per evadere IDS. Per simulare il comportamento di Ember Bear, combina scansioni con vulnerability assessment usando nmap --script vuln 198.51.100.0/24 per identificare servizi vulnerabili.

In ambiente Windows, PowerShell offre capacità native. Lo script 1..254 | ForEach-Object {Test-Connection -ComputerName "192.168.1.$_" -Count 1 -Quiet} esegue ping sweep senza tool esterni. Per scansioni TCP più sofisticate, Test-NetConnection -ComputerName 10.0.0.5 -Port 445 verifica servizi SMB attivi.

La simulazione realistica richiede variazione nei pattern. Alterna tra scansioni verticali (tutte le porte su singolo host) e orizzontali (porta specifica su molteplici host). Implementa ritardi casuali tra probe con nmap --scan-delay 2s --max-retries 1 per mimetizzare comportamento umano e ridurre il rumore di rete.

La detection efficace richiede correlazione tra molteplici data source. Monitora Network Traffic Content attraverso full packet capture per identificare pattern di scansione. Configura Zeek per estrarre metadati con echo "redef Log::default_store = Log::ASCII;" > local.zeek | zeek -Cr capture.pcap local.zeek e analizza conn.log per connessioni anomale.

Implementa detection basata su soglie comportamentali. Un singolo host che contatta più di 50 IP univoci su stessa porta entro 5 minuti indica scansione orizzontale. Pattern di connessioni rifiutate (REJ/S0) seguite da connessione riuscita suggeriscono port knocking. Configura alert per src_ip con > 100 SYN senza handshake completo per identificare SYN scan.

Sfrutta Network Traffic Flow per analisi su larga scala. Query NetFlow per identificare host con rapporto anomalo connessioni fallite/riuscite. Il comando flow-cat /var/flow/2024-01-15 | flow-stat -f10 -S3 aggrega top scanner per connessioni tentate. Correla con DNS per identificare scansioni verso IP senza risoluzione inversa.

Per ridurre falsi positivi, implementa whitelist dinamiche basate su comportamento storico. Scanner legittimi come Shodan hanno pattern riconoscibili: user-agent specifici, ASN noti, velocità costante. Crea baseline per vulnerability scanner autorizzati e servizi di monitoraggio per distinguere attività legittime da reconnaissance malevola.

Automatizza response con SOAR. Quando identifichi scansione da IP esterno, verifica reputazione su threat intelligence, controlla se l'IP appartiene a servizi cloud noti (AWS, Azure), e implementa blocco temporaneo se score di rischio supera soglia. Documenta metriche chiave: tempo medio di detection < 2 minuti, falsi positivi < 5% per scansioni esterne.

L'analisi forense di scansioni IP richiede correlazione temporale precisa tra artefatti di rete e host. Inizia estraendo flow records dal periodo sospetto. Il comando nfdump -R /var/cache/nfdump -t 2024-01-15.08:00:00-2024-01-15.09:00:00 'port 22 or port 445' isola traffico verso servizi critici nella finestra temporale.

Su sistemi Windows, correla Sysmon EventID 3 (Network Connection) con firewall logs. Query PowerShell Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational';ID=3} | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)} estrae connessioni di rete recenti. Identifica processi anomali che hanno iniziato connessioni durante la scansione.

Per sistemi Linux, analizza /var/log/auth.log per tentativi di autenticazione SSH correlati temporalmente con la scansione. Pattern di failed login da molteplici IP sorgente indicano scansione seguita da brute force. Il comando aureport -au -ts 01/15/2024 08:00:00 -te 01/15/2024 09:00:00 genera report di eventi di autenticazione.

Ricostruisci la progressione dell'attacco mappando scansioni a successive fasi. Ember Bear tipicamente esegue scansioni di vulnerabilità seguite da exploit mirati entro 72 ore. Cerca indicatori di tool automatizzati: user-agent consistenti, TTL uniformi, pattern di scansione sequenziali vs randomizzati.

Documenta metriche forensi chiave: numero totale di IP scansionati, servizi identificati, tempo tra scansione e primo tentativo di exploit. Crea visualizzazione temporale che mostri evoluzione da ricognizione ad accesso iniziale, evidenziando host che hanno risposto positivamente e sono diventati target di attacchi successivi.

TeamTNT focalizza scansioni su ambienti cloud e container, targeting specifico di Docker API (porta 2375/2376) e Kubernetes (6443, 10250). Il gruppo mantiene liste di IP target pre-compilate, suggerendo intelligence gathering passiva prima di scansioni attive. Post-scansione, TeamTNT deploya cryptominer entro 4-6 ore da identificazione di target vulnerabili.

Ember Bear (Unit 29155 GRU) conduce scansioni più mirate contro infrastrutture governative. Focus su servizi di gestione remota: RDP (3389), VPN endpoints, sistemi SCADA. Le scansioni precedono tipicamente campagne distruttive come WhisperGate. Pattern geografico: 70% Europa dell'Est, 20% infrastrutture critiche EU, 10% obiettivi NATO.

Overlap negli strumenti rivela TTP condivisi. Entrambi i gruppi utilizzano masscan per scansioni iniziali veloci, seguito da nmap per profilazione dettagliata. TeamTNT preferisce automation via script Python custom, Ember Bear integra scansioni in framework C2 più sofisticati. Monitora repository GitHub per leak di scanner tools modificati.

Trend emergente: scansioni IPv6 in aumento del 300% negli ultimi 6 mesi. APT state-sponsored investono in capacità dual-stack per identificare servizi esposti su IPv6 con security posture più debole. Correla scansioni con 0-day disclosure - picchi di scansioni entro 24-48 ore da pubblicazione vulnerabilità critiche indicano APT con capacità di weaponization rapida.

Predizione: prossima evoluzione includerà scansioni via sistemi compromessi per mascherare origine. Monitora botnet IoT per utilizzo in distributed scanning. TeamTNT probabilmente espanderà target a nuovi servizi cloud (Nomad, Consul). Ember Bear intensificherà scansioni pre-conflitto come indicatore di escalation.

Framework MITRE ATT&CK T1595.001 - Scanning IP Blocks documenta questa tecnica di Active Scanning utilizzata nella fase di Reconnaissance. Le campagne di TeamTNT contro infrastrutture cloud e le operazioni di Ember Bear/GRU Unit 29155 forniscono esempi concreti di implementazione. Risorse di detection includono configurazioni Zeek, Suricata e regole Sigma per identificazione di pattern di scansione anomali.