Scoperta delle Relazioni di Fiducia: Domain Trust Discovery (T1482)

Il punto di partenza più comune è l'utility nativa Windows. Il comando nltest /domain_trusts restituisce immediatamente tutte le relazioni di trust del dominio corrente. Per ottenere dettagli completi inclusi i trust transitivi, l'estensione /all_trusts rivela l'intera catena.

Gli attaccanti sofisticati come FIN8 preferiscono combinare più approcci. Dopo l'enumerazione iniziale con nltest, utilizzano query LDAP dirette per estrarre attributi specifici dei trust object. Il comando dsquery diventa particolarmente utile: *dsquery * -filter "(objectClass=trustedDomain)" -attr **

PowerShell offre capacità ancora più granulari attraverso moduli specializzati. PowerSploit include cmdlet dedicati come Get-NetDomainTrust e Get-NetForestTrust che non solo enumerano i trust ma classificano automaticamente il tipo di relazione (one-way, two-way, forest trust).

Per ambienti più complessi, BloodHound rappresenta l'evoluzione naturale. Non si limita a elencare i trust ma costruisce una mappa grafica delle relazioni, evidenziando automaticamente i percorsi di attacco ottimali. L'integrazione con Rubeus permette poi di sfruttare immediatamente i trust scoperti per richieste Kerberos cross-domain.

Gli attaccanti moderni automatizzano l'intero processo. Empire e PoshC2 includono moduli che combinano discovery, analisi e sfruttamento in workflow scriptabili. La catena tipica prevede: enumerazione trust, identificazione SPN cross-domain, richiesta ticket Kerberos, movimento laterale verso il dominio target.

La detection efficace richiede un approccio multilivello che va oltre il semplice monitoraggio di nltest.exe. L'analisi comportamentale deve considerare il contesto: chi sta eseguendo l'enumerazione, da quale sistema, e cosa succede subito dopo.

Il primo livello di detection sfrutta Sysmon per catturare l'esecuzione di processi sospetti. EventID 1 con CommandLine contenente "domain_trusts" rappresenta un indicatore immediato. Ma attenzione: molti script di amministrazione legittimi utilizzano questi comandi, quindi il contesto diventa critico.

PowerShell logging (EventID 4104) cattura gli script che utilizzano cmdlet di enumerazione. Pattern come Get-AcceptedDomain o chiamate dirette a DSEnumerateDomainTrusts() devono triggare alert quando provengono da utenti non amministrativi o da workstation invece che da jump server autorizzati.

La correlazione temporale aumenta drasticamente l'efficacia. Un'enumerazione trust seguita entro 5 minuti da richieste Kerberos cross-domain o tentativi di autenticazione su domain controller remoti indica con alta probabilità un attacco in corso. Questa sequenza è stata osservata in tutte le campagne documentate.

I falsi positivi si riducono implementando whitelist basate su: account di servizio autorizzati, script di monitoring schedulati, source IP dei sistemi di gestione. L'importante è mantenere queste whitelist aggiornate e sottoporle a review periodiche per evitare che diventino vie di bypass.

Gli artefatti dell'enumerazione trust si distribuiscono su multiple fonti che vanno correlate per ricostruire la timeline completa. I Security log di Windows (EventID 4624, 4672) mostrano i logon con privilegi elevati necessari per query LDAP sensibili, mentre i Domain Controller log registrano le query stesse.

La prefetch analysis rivela l'esecuzione di tool anche quando i log sono stati cancellati. File come NLTEST.EXE-.pf o ADFIND.EXE-.pf nel percorso C:\Windows\Prefetch contengono timestamp e count di esecuzione che aiutano a stabilire la frequenza di utilizzo.

I PowerShell transcript, quando abilitati, catturano l'intera sessione di enumerazione. La cartella $env:USERPROFILE\Documents\PowerShell\Transcripts può contenere dettagli preziosi su comandi eseguiti, output ottenuti e successive azioni intraprese dall'attaccante.

Durante la campagna SolarWinds Compromise, gli investigatori hanno ricostruito come APT29 abbia utilizzato AdFind per mappare sistematicamente tutti i trust federati. I log LDAP sui domain controller mostravano query massive per objectClass=trustedDomain concentrate in finestre temporali di 2-3 minuti, seguite da autenticazioni cross-forest nelle ore successive.

Memory forensics con Volatility può recuperare i risultati di enumerazione ancora presenti in memoria anche dopo la terminazione del processo. I plugin malfind e cmdline spesso rivelano buffer contenenti l'output completo di nltest o strutture dati PowerShell con informazioni sui trust.

Lotus Blossom (G0030) mostra un approccio metodico utilizzando AdFind per query Active Directory complete. Il gruppo tipicamente dedica 24-48 ore alla fase di discovery prima di procedere con movimenti laterali mirati verso domain controller di domini trusted.

Magic Hound (G0059) preferisce web shell per l'esecuzione remota di nltest, indicando che spesso operano da sistemi compromessi edge-facing. Questa tattica suggerisce limitata persistenza interna e necessità di massimizzare il valore di ogni sistema compromesso.

FIN8 (G0061) dimostra sofisticazione superiore combinando enumerazione trust con immediate campagne di Kerberoasting cross-domain. Il gruppo mantiene database di hash raccolti che riutilizza in campagne successive contro organizzazioni con trust verso precedenti vittime.

I pattern geografici emergono chiaramente: gruppi Asia-Pacific come Earth Lusca (G1006) tendono a focalizzarsi su trust tra subsidiary regionali di multinazionali, mentre attori europei come Chimera (G0114) privilegiano trust tra organizzazioni dello stesso settore industriale.

L'overlap negli strumenti è significativo: 7 dei 9 gruppi utilizzano varianti di nltest o AdFind, suggerendo che questi tool sono considerati best practice nel settore. La tendenza emergente vede l'integrazione di capacità di trust discovery direttamente nei malware, come dimostrato da TrickBot, QakBot e Latrodectus.

Tecnica T1482 del framework MITRE ATT&CK. Campagne documentate: C0015 Conti ransomware, C0024 SolarWinds Compromise, C0049 Leviathan Australian Intrusions. Detection chain DET0007 per correlation multi-source.