Servizi Remoti Esterni: External Remote Services (T1133)

Gli attaccanti sfruttano i servizi remoti esposti verso l'esterno per ottenere l'accesso iniziale e mantenere la persistenza all'interno delle reti aziendali. VPN, Citrix e altri meccanismi di accesso remoto permettono agli utenti legittimi di connettersi alle risorse interne da posizioni esterne, ma diventano vettori privilegiati quando compromessi.

Questa tecnica appartiene a due fasi distinte della kill chain. Nella fase di Initial Access (TA0001), gli attaccanti utilizzano credenziali rubate o servizi mal configurati per penetrare il perimetro. Nella fase di Persistence (TA0003), mantengono l'accesso configurando backdoor SSH, stabilendo tunnel VPN persistenti o sfruttando API esposte di Docker e Kubernetes.

I numeri parlano chiaro: 26 gruppi APT documentati utilizzano attivamente questa tecnica, con 9 campagne maggiori identificate dal 2009. Il gruppo APT29 (Cozy Bear) ha compromesso identità per accedere attraverso VPN durante la campagna SolarWinds, mentre Wizard Spider ha utilizzato credenziali rubate per accedere all'infrastruttura VPN aziendale prima di distribuire ransomware.

La superficie d'attacco include non solo i classici servizi VPN e RDP, ma anche API esposte di container, dashboard Kubernetes non autenticati e servizi nascosti Tor configurati per l'accesso persistente.

Iniziare con la ricognizione dei servizi esposti è fondamentale. Su sistemi Linux, identificare i servizi VPN attivi richiede un approccio sistematico che parte dall'enumerazione delle porte aperte.

nmap -sV -p 443,1194,500,4500,1723 target.com

Questo comando cerca i servizi VPN comuni: OpenVPN sulla 1194, IPSec sulle porte 500/4500, PPTP sulla 1723. La porta 443 spesso nasconde SSL VPN o Citrix Gateway mascherati da traffico HTTPS standard.

Per testare credenziali compromesse contro servizi VPN, gli strumenti variano in base al protocollo. Con OpenVPN, creare un file di configurazione client che punti al server target e utilizzare le credenziali ottenute attraverso phishing o data breach precedenti.

Gli attaccanti spesso configurano backdoor SSH per mantenere l'accesso. Su un sistema compromesso, modificano il servizio SSH per ascoltare su porte non standard:

sed -i 's/#Port 22/Port 8443/' /etc/ssh/sshd_config && systemctl restart sshd

Questo sposta SSH sulla porta 8443, mascherandolo da traffico HTTPS. I gruppi APT più sofisticati utilizzano Dropbear SSH con password hardcoded nel binario, rendendo la backdoor resistente ai cambi password degli utenti legittimi.

Per i container esposti, Docker rappresenta un obiettivo privilegiato. Se l'API Docker è esposta senza autenticazione sulla porta 2375:

docker -H tcp://target.com:2375 run -it -v /:/host alpine chroot /host bash

Questo comando monta il filesystem root dell'host all'interno di un container Alpine Linux, garantendo accesso completo al sistema sottostante.

Nel caso di Kubernetes, un API server esposto permette l'enumerazione completa del cluster. Il tool kubectl diventa l'arma principale:

kubectl --server=https://target.com:6443 --insecure-skip-tls-verify get secrets --all-namespaces

I segreti Kubernetes contengono spesso token di servizio, certificati e credenziali di database che permettono movimento laterale all'interno dell'infrastruttura cloud.

Per stabilire persistenza avanzata, il malware Mafalda utilizzato dal gruppo Metador crea connessioni SSH reverse attraverso jump host compromessi. La configurazione richiede modifiche al file di configurazione SSH del client:

Host jump
    HostName compromised.server.com
    User backdoor
    
Host target
    ProxyJump jump
    LocalForward 3389 internal.target:3389

Questa configurazione permette l'accesso RDP a sistemi interni attraverso tunnel SSH multipli, rendendo difficile il tracciamento della vera origine delle connessioni.

I tool di post-exploitation come ShadowLink automatizzano la creazione di hidden service Tor per l'accesso persistente. L'installazione avviene mascherando il servizio come componente di Windows Defender, con il servizio Tor che ascolta su una porta locale e genera un indirizzo .onion unico per l'accesso remoto.

torify ssh user@[onion-address].onion -p 22

Testare la resilienza dei servizi remoti richiede anche l'analisi delle configurazioni di timeout e keepalive. Molti gateway VPN commerciali mantengono sessioni attive per ore anche senza traffico, permettendo agli attaccanti di mantenere l'accesso con minimal footprint.

Vuoi diventare un Ethical Hacker ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto fin dal primo passo

La detection efficace richiede correlazione tra multiple fonti di log. Windows Event ID 4625 (failed logon) seguito da 4624 (successful logon) dallo stesso IP esterno entro 15 minuti indica un possibile brute force riuscito. Ma questo pattern genera troppi falsi positivi.

L'approccio vincente combina geolocalizzazione con analisi comportamentale. Un login VPN dall'Italia alle 14:00 seguito da uno dalla Cina alle 14:30 per lo stesso utente è fisicamente impossibile - questo è il tipo di anomalia che i SOC devono catturare.

Su firewall Palo Alto o FortiGate, configurare alert personalizzati per connessioni VPN da IP che non appartengono ai range geografici autorizzati. La query Splunk diventa:

index=vpn action=login 
| iplocation src_ip 
| where Country!="Italy" AND Country!="Switzerland" 
| stats count by user, Country, src_ip

Per Citrix Gateway, monitorare i log di autenticazione in /var/log/ns.log cercando pattern di failed authentication seguiti da success dallo stesso IP. L'indicatore chiave è la presenza di user agent anomali - molti tool di attacco non emulano correttamente i client Citrix legittimi.

Docker e Kubernetes richiedono un approccio differente. L'API Docker genera log minimi di default, ma abilitando il debug logging si possono catturare tutte le chiamate API:

{
  "debug": true,
  "log-level": "debug",
  "log-opts": {
    "max-size": "10m",
    "max-file": "3"
  }
}

Per Kubernetes, gli audit log sono essenziali. Eventi di tipo "ResponseComplete" con verbi come "create" o "exec" su risorse pods da IP esterni indicano possibile compromissione. La configurazione richiede:

- level: RequestResponse
  omitStages:
  - RequestReceived
  resources:
  - group: ""
    resources: ["pods", "pods/exec"]
  namespaces: ["kube-system", "default"]

I pattern di lateral movement post-accesso sono distintivi. Cercare connessioni SSH o RDP originate dalla subnet DMZ verso la rete interna entro 30 minuti da un login VPN riuscito. Questo indica un attaccante che sta esplorando la rete dopo l'accesso iniziale.

Microsoft Sentinel offre regole built-in per "Impossible Travel" che detectano login da location geografiche impossibili. Personalizzare la regola riducendo la finestra temporale da 4 ore a 2 ore e aggiungendo eccezioni per utenti noti che utilizzano VPN aziendali.

Per combattere l'uso di Tor, implementare detection basate su connessioni a IP noti di exit node Tor. Il feed di IP è disponibile pubblicamente e va aggiornato ogni 6 ore. Alert su qualsiasi connessione inbound da questi IP verso servizi remoti critici.

L'analisi dei certificati SSL/TLS può rivelare tentativi di impersonazione. Certificati self-signed presentati a servizi VPN pubblici, specialmente se il Common Name imita quello legittimo, indicano possibili attacchi man-in-the-middle o tentativi di phishing.

Elastic Stack permette di correlare eventi attraverso il campo "session.id". Una sessione VPN che genera traffico verso più di 20 destinazioni interne uniche nei primi 10 minuti suggerisce scanning automatizzato piuttosto che comportamento umano normale.

Vuoi diventare SOC Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e scopri come si monitorano e bloccano gli attacchi informatici

La ricostruzione forense di accessi remoti compromessi inizia sempre dai log di autenticazione. Su Windows, il Security Event Log contiene tracce dettagliate in Event ID 4776 per autenticazioni NTLM e 4768/4769 per Kerberos. Ma questi eventi vanno correlati con i log del gateway VPN stesso.

Prendiamo il caso di APT29 durante SolarWinds. L'analisi forense ha rivelato che gli attaccanti utilizzavano token SAML rubati per autenticarsi ai servizi cloud, bypassando completamente i meccanismi di autenticazione tradizionali. I log di Azure AD mostravano login apparentemente legittimi, ma l'analisi dei claim SAML rivelava timestamp di emissione anomali.

Su sistemi Linux, /var/log/secure o /var/log/auth.log contengono tracce SSH. Pattern distintivi includono:

Connessioni SSH che utilizzano solo autenticazione password quando l'utente normalmente usa chiavi
Session ID SSH che non corrispondono a nessun login interattivo precedente
Comandi eseguiti attraverso SSH senza una shell interattiva associata

Per VPN commerciali come Pulse Secure o Fortinet, i log di sistema vanno oltre la semplice autenticazione. File come /home/logs/access.log su Pulse Secure contengono:

2024-01-15 14:23:45 - username - 185.220.101.45 - Login succeeded - Session ID: a4f5c2d8
2024-01-15 14:23:47 - username - 185.220.101.45 - Resource '/RDP/internal-dc01' accessed

L'IP 185.220.101.45 in questo esempio appartiene a un exit node Tor, indicatore chiaro di accesso malevolo.

Wizard Spider lascia tracce distinctive quando compromette infrastrutture VPN. I forensic analyst dovrebbero cercare:

Creazione di nuovi account locali sul gateway VPN stesso
Modifiche ai file di configurazione per disabilitare logging
Installazione di web shell nelle directory web pubbliche del gateway

Gli artefatti di Docker richiedono analisi del filesystem /var/lib/docker/. I layer delle immagini container in /var/lib/docker/overlay2/ possono contenere tool di attacco o credenziali hardcoded. Il file /var/lib/docker/containers/[container-id]/config.v2.json registra tutti i comandi eseguiti nel container.

Per Kubernetes, gli audit log in /var/log/kubernetes/audit.log forniscono una timeline completa. Eventi chiave da cercare:

{
  "kind": "Event",
  "apiVersion": "audit.k8s.io/v1",
  "level": "RequestResponse",
  "stage": "ResponseComplete",
  "verb": "create",
  "objectRef": {
    "resource": "pods",
    "name": "malicious-pod",
    "namespace": "kube-system"
  },
  "sourceIPs": ["192.168.1.100"],
  "userAgent": "kubectl/v1.19.0"
}

La presenza di pod creati nel namespace kube-system da IP non autorizzati è un red flag immediato.

Memory forensics con Volatility può rivelare connessioni VPN attive non visibili attraverso metodi tradizionali. Il plugin netscan mostra connessioni di rete, mentre malfind può identificare injected code in processi VPN client.

Su macOS, Unified Logging contiene dettagli granulari sulle connessioni remote. Il comando: log show --predicate 'process == "screensharingd" OR process == "sshd"' --last 48h

Rivela tutti i tentativi di accesso remoto, inclusi quelli falliti che potrebbero non apparire nei log di sistema tradizionali.

Vuoi diventare Forensic Analyst ma non sai da dove iniziare?

Scarica la guida gratuita e segui il percorso corretto per analizzare incidenti e prove digitali

APT28 (Fancy Bear) rappresenta l'eccellenza nell'uso di servizi remoti compromessi. Il gruppo russo GRU utilizza una combinazione di Tor e VPN commerciali per offuscare l'origine degli attacchi. Pattern distintivi includono l'uso di ProtonVPN e Mullvad per il primo hop, seguito da exit node Tor per l'accesso finale.

APT29 ha evoluto le proprie tecniche dopo SolarWinds. Ora preferiscono compromettere Managed Service Provider per ottenere accesso VPN legittimo ai clienti target. Identificano MSP con accesso privilegiato attraverso LinkedIn e pagine "Partners" sui siti aziendali, poi lanciano campagne di spear phishing mirate contro gli amministratori IT.

Kimsuky, gruppo nordcoreano, mantiene un approccio più diretto. Utilizzano RDP esposto su Internet come vettore primario, spesso su porte non standard come 3390 o 8899. Una volta dentro, installano TightVNC per accesso grafico persistente, configurandolo per avviarsi come servizio Windows.

Il gruppo GALLIUM mostra predilezione per SoftEther VPN, un software open source che può essere configurato per assomigliare a traffico HTTPS standard. Installano server SoftEther su sistemi compromessi nella DMZ, creando un bridge verso la rete interna che bypassa molti controlli di sicurezza tradizionali.

Threat Group-3390 cinese ha una strategia unica: rubano profili VPN completi dai sistemi compromessi. File .pcf per Cisco VPN o .ovpn per OpenVPN vengono esfiltrati insieme alle credenziali salvate. Questo permette loro di connettersi usando client VPN legittimi, rendendo la detection estremamente difficile.

Pattern geografici emergenti mostrano che gruppi APT russi preferiscono compromettere exit node VPN in Svezia e Svizzera per sfruttare le leggi sulla privacy. Gruppi cinesi invece utilizzano principalmente VPS in Singapore e Hong Kong come jump box intermedi.

Operation Wocao ha dimostrato l'importanza del timing. Gli attaccanti si connettevano via VPN solo durante l'orario lavorativo locale del target, mimando il comportamento di dipendenti legittimi. Utilizzavano anche gli stessi user agent dei browser aziendali standard quando accedevano a web application attraverso il tunnel VPN.

L'overlap nei tool è significativo. APT41 e Winnti Group condividono l'uso di PlugX configurato per comunicare attraverso tunnel SSL VPN esistenti. Questo permette loro di mantenere persistenza anche quando le credenziali VPN vengono cambiate, poiché il malware utilizza il tunnel già stabilito.

Trend emergenti includono l'abuso di feature legittime. La funzione "Always-On VPN" di Windows 10/11 viene configurata via Group Policy per mantenere connessioni persistenti verso server controllati dagli attaccanti. Il traffico appare come VPN aziendale legittima agli occhi dei sistemi di monitoring.

Servizi Remoti Esterni: External Remote Services (T1133)

Vuoi diventare un Ethical Hacker ma non sai da dove iniziare?

Vuoi diventare SOC Analyst ma non sai da dove iniziare?

Vuoi diventare Forensic Analyst ma non sai da dove iniziare?

Cyber Security UP

Contattaci

Privacy policy