Raccolta Dati da SharePoint: Data from Information Repositories – Sharepoint (T1213.002)

In un engagement red team, l'accesso a SharePoint è spesso il momento in cui l'operazione cambia marcia. Una volta ottenute credenziali valide — magari tramite phishing o password spraying — il passo successivo è enumerare le site collection e capire cosa contengono. L'approccio più efficace combina i moduli PowerShell del framework PnP PowerShell (open source) con query mirate.

Il primo passo è connettersi all'istanza target. Con PnP PowerShell il comando è diretto:

Connect-PnPOnline -Url -Interactive

Una volta autenticati, l'enumerazione delle liste e librerie disponibili si ottiene con:

Get-PnPList | Select-Object Title, ItemCount, BaseTemplate

Questo restituisce tutte le librerie documentali con il numero di elementi, permettendo di identificare rapidamente i repository più corposi. Per scaricare in blocco i contenuti di una libreria specifica, si può iterare sugli item:

Get-PnPListItem -List "Documents" -PageSize 500 | ForEach-Object { Get-PnPFile -Url $_.FieldValues.FileRef -Path C:\loot -AsFile }

In contesti dove PnP non è disponibile, il modulo SharePoint Online Management Shell (gratuito, distribuito da Microsoft) offre funzionalità analoghe, sebbene più orientate all'amministrazione. Per simulare lo scenario di Ke3chang, che ha usato il tool spwebmember per enumerare membri e struttura dei siti SharePoint, è possibile interrogare l'API REST di SharePoint direttamente via PowerShell:

Invoke-RestMethod -Uri "/_api/web/siteusers" -Headers @{Accept="application/json"} -UseDefaultCredentials

Questa chiamata restituisce l'elenco completo degli utenti del sito, con ruoli e permessi. Per un'enumerazione più aggressiva delle site collection accessibili, lo strumento SharePoint Search espone query potenti: una ricerca tipo contentclass:STS_Site attraverso l'endpoint _api/search/query rivela tutte le site collection indicizzate a cui l'utente ha accesso.

Un aspetto spesso sottovalutato è la ricerca di credenziali nei documenti. Combinando il download massivo con tool come truffleHog (open source) o grep su pattern specifici (password, connectionstring, API key), si replica il comportamento di LAPSUS$, che cercava credenziali ad alto privilegio nelle piattaforme collaborative. In laboratorio, documentate sempre il volume di dati accessibili e i permessi effettivi dell'account compromesso: questi dati sono oro nel report finale per dimostrare l'impatto reale.

La detection di questa tecnica si fonda su un principio semplice: il volume e il pattern di accesso. Un utente legittimo consulta pochi documenti al giorno, in librerie coerenti con il proprio ruolo. Un avversario — o un account compromesso — scarica centinaia di file in pochi minuti, attraversa librerie eterogenee e spesso opera fuori orario.

La detection principale documentata — DET0500 — si concentra esattamente su questo: identificare account privilegiati o raramente utilizzati che eseguono accesso massivo a file o metadati SharePoint in finestre temporali ristrette. Le log source fondamentali sono tre: m365:unified (Unified Audit Log di Microsoft 365), azure:signinlogs (per correlare l'accesso all'autenticazione) e m365:sharepoint (log nativi di SharePoint Online).

Nel Unified Audit Log, le operazioni chiave da monitorare sono FileAccessed, FileDownloaded, FileModified e FileViewed. L'evento FileDownloaded è il più indicativo per scenari di raccolta massiva. La strategia di tuning raccomandata prevede quattro parametri regolabili:

• UserContext: restringere il focus su account di servizio, account amministrativi o account che non hanno effettuato login negli ultimi 30 giorni
• TimeWindow: definire la finestra di aggregazione — 10 minuti è un buon punto di partenza
• DownloadThreshold: numero minimo di documenti scaricati nella finestra per generare alert — partire da 20-30 e calibrare
• SiteScope: limitare la detection alle site collection sensibili (HR, Finance, Engineering, IT Security)

Per costruire una regola KQL in Microsoft Sentinel (freemium), la logica di base prevede di filtrare gli eventi FileDownloaded dal Unified Audit Log, raggrupparli per utente e finestra temporale con summarize, e generare alert quando il conteggio supera la soglia. Aggiungere un join con SigninLogs permette di correlare l'accesso con la geolocalizzazione e il tipo di dispositivo — un download massivo da un IP mai visto prima o da un client atipico alza significativamente la confidenza dell'alert.

La mitigazione M1047 – Audit raccomanda revisioni periodiche di account e privilegi sulle repository SharePoint critiche. Tradotto in operatività SOC, questo significa implementare un report settimanale automatico che elenchi gli account con accesso a site collection sensibili e i relativi volumi di attività. I falsi positivi più comuni arrivano da migrazioni documentali pianificate, backup automatizzati tramite tool di terze parti e utenti che sincronizzano intere librerie con OneDrive — tutti scenari da inserire in whitelist con criteri precisi.

La ricostruzione forense di un data mining su SharePoint si sviluppa su due piani: i log cloud-side e gli artefatti endpoint-side. La buona notizia è che Microsoft 365 conserva gli Unified Audit Log per un periodo configurabile (fino a 10 anni con le licenze appropriate), il che offre profondità storica rara nel cloud forensics.

Il punto di partenza è l'estrazione degli audit log tramite il modulo ExchangeOnlineManagement (gratuito) di PowerShell:

Search-UnifiedAuditLog -StartDate "2024-01-01" -EndDate "2024-06-01" -Operations FileDownloaded,FileAccessed -RecordType SharePointFileOperation -ResultSize 5000

Ogni record contiene il campo AuditData in formato JSON con dettagli critici: l'utente, l'IP sorgente, il file acceduto, la site collection, il dispositivo e il timestamp UTC. Raggruppando gli eventi per UserId e ordinandoli cronologicamente, emerge il pattern di raccolta — quali librerie sono state enumerate per prime, quale ordine di accesso è stato seguito, se l'attività è stata manuale o scriptata (intervalli regolari tra download suggeriscono automazione).

Sul versante endpoint, se l'avversario ha operato tramite browser, i classici artefatti web browser forniscono evidenze complementari. La cronologia di navigazione (database SQLite di Chrome in %LOCALAPPDATA%\Google\Chrome\User Data\Default\History o equivalente per Edge) contiene gli URL delle pagine SharePoint visitate. La cache del browser può conservare frammenti dei documenti visualizzati in anteprima. Se il download è avvenuto su disco, i file compaiono nella directory Downloads con timestamp NTFS di creazione che si correla con gli audit log cloud.

Per scenari come quello di HAFNIUM, che ha sfruttato credenziali compromesse, la correlazione con azure:signinlogs è essenziale per determinare il vettore di accesso iniziale — sign-in da IP anomali, uso di legacy authentication protocol o assenza di MFA sono indicatori di compromissione dell'account. Analogamente, nel caso della campagna C0027 condotta da Scattered Spider, i log mostrano ricerche mirate di termini come "VPN", "MFA enrollment" e "new hire guide" — pattern che si possono identificare filtrando le operazioni di tipo SearchQueryPerformed nello Unified Audit Log.

Lo strumento Microsoft Cloud App Security (ora Microsoft Defender for Cloud Apps, a pagamento) offre una dashboard forense integrata che facilita l'analisi, ma l'estrazione diretta via PowerShell resta il metodo più affidabile per preservare la catena di custodia.

Il panorama degli attori che sfruttano SharePoint come fonte di raccolta dati rivela una tecnica trasversale — non legata a una specifica area geografica o motivazione. Sei gruppi documentati, ciascuno con obiettivi e TTP distinti, confermano che il data mining su SharePoint è un'azione opportunistica inclusa nei playbook di attori molto eterogenei.

APT28 (G0007), il gruppo legato all'intelligence militare russa, utilizza SharePoint per raccogliere informazioni all'interno delle reti target. Il suo interesse per documentazione interna e architetture di rete è coerente con obiettivi di spionaggio strategico, dove la comprensione della struttura IT della vittima accelera il movimento laterale e la persistenza.

HAFNIUM (G0125) ha un approccio più diretto: sfrutta credenziali compromesse specificamente per esfiltrare dati da SharePoint. La catena è lineare — compromissione account, accesso alla piattaforma, download ed esfiltrazione — con un focus su volumi significativi di dati piuttosto che su documenti specifici.

LAPSUS$ (G1004) rappresenta il caso più interessante dal punto di vista del targeting: non cercava documenti operativi, ma credenziali di account ad alto privilegio nascoste nelle piattaforme collaborative. Questo approccio — usare SharePoint come trampolino per privilege escalation piuttosto che come obiettivo finale — è un pattern che sta emergendo anche in altri gruppi a motivazione finanziaria.

Chimera (G0114) ha raccolto documenti dalle istanze SharePoint delle vittime, un comportamento allineato con operazioni di spionaggio industriale mirate. Akira (G1024), gruppo ransomware, ha scaricato informazioni da SharePoint come parte di attività combinate di raccolta ed esfiltrazione — coerente con la doppia estorsione dove i dati rubati vengono usati come leva negoziale.

Ke3chang (G0004) si distingue per l'uso di un tool dedicato — spwebmember (S0227) — progettato per enumerare e scaricare informazioni da SharePoint. L'esistenza di tooling specifico indica maturità operativa e suggerisce che l'attore ha sviluppato procedure ripetibili per questo tipo di raccolta.

La campagna C0027, condotta da Scattered Spider tra giugno e dicembre 2022, mostra un uso particolarmente mirato: gli operatori cercavano informazioni su VPN, procedure MFA e guide per nuovi assunti — esattamente il tipo di documentazione che consente di mimetizzarsi nell'ambiente e mantenere l'accesso. Il pattern di ricerca mirata piuttosto che download massivo è un indicatore comportamentale utile per il threat hunting.

Framework MITRE ATT&CK v16 — Tecnica T1213.002, Tattica TA0009, Campagna C0027, Software S0227 (spwebmember), Mitigazioni M1047, M1018, M1017, Detection DET0500 (AN1380). Integrato con conoscenza professionale per tool e procedure operative.