Crittografia Simmetrica nel C2: Encrypted Channel — Symmetric Cryptography (T1573.001)

Simulare un canale C2 cifrato con crittografia simmetrica è uno degli esercizi più istruttivi in un red team engagement, perché costringe a capire cosa vedono (e cosa non vedono) i difensori a livello di rete. L'obiettivo non è soltanto stabilire una sessione cifrata, ma farlo in modo che il traffico generato sfugga all'analisi euristica.

Il punto di partenza più diretto è Cobalt Strike (a pagamento), che implementa nativamente AES-256-CBC con HMAC-SHA-256 per cifrare i comandi e XOR per lo shellcode. Nella configurazione del Malleable C2 profile si può personalizzare il comportamento del beacon in modo che il traffico cifrato si mescoli con pattern HTTP legittimi. In alternativa, Sliver (open source) offre cifratura AES-GCM-256 per lo scambio messaggi C2, con la possibilità di generare implant che negoziano una session key all'avvio.

Per un approccio più granulare e didattico, si può costruire un canale RC4 artigianale con Python. Un esempio minimo che incapsula comandi in HTTP POST cifrati con RC4:

python3 -c "from Crypto.Cipher import ARC4; k=ARC4.new(b'testkey123'); print(k.encrypt(b'whoami').hex())"

Questo one-liner (richiede il pacchetto pycryptodome, installabile con pip install pycryptodome) mostra come un payload venga trasformato in una stringa esadecimale opaca. Sul lato server, basta invertire l'operazione con la stessa chiave.

Per simulare XOR — l'approccio più semplice e diffusissimo nei malware reali — basta un ciclo bash:

echo -n "whoami" | xxd -p | python3 -c "import sys; data=bytes.fromhex(sys.stdin.read().strip()); print(bytes([b^0xBE for b in data]).hex())"

La chiave 0xBE è quella usata da 4H RAT, ma in laboratorio il valore è irrilevante: ciò che conta è osservare come il payload cifrato alzi drasticamente l'entropia del flusso.

Per un test realistico end-to-end, si può configurare Sliver in listener mode con trasporto mTLS o HTTP e verificare con Zeek (open source) o Wireshark (open source) come appare il traffico catturato. Il comando Zeek che misura l'entropia dei payload è particolarmente utile:

zeek -r capture.pcap frameworks/files/entropy

Questo genera log con i valori di entropia per file e stream, permettendo di calibrare le soglie di detection. Un red teamer dovrebbe sempre documentare il delta tra il traffico C2 cifrato e il baseline del cliente, fornendo ai difensori i dati per migliorare i propri alert.

Il paradosso della crittografia simmetrica nel C2 è che rende il contenuto illeggibile ma lascia tracce comportamentali evidenti. La detection non può basarsi sull'ispezione del payload — se è cifrato bene, non si decodifica senza la chiave — ma deve sfruttare le anomalie strutturali che la cifratura introduce nel traffico.

Su Windows, la detection analytic AN0400 indica una strada precisa: monitorare processi che normalmente non eseguono operazioni crittografiche ma che caricano librerie come bcryptprimitives.dll o aes.dll, per poi avviare connessioni in uscita con payload ad alta entropia. Il log source primario è Sysmon, dove gli eventi chiave sono EventCode 7 (Image Loaded) per intercettare il caricamento delle DLL crittografiche e EventCode 3 (Network Connection) per correlare la connessione di rete. Una regola SIEM efficace correla i due eventi entro una finestra temporale configurabile (parametro TimeWindow), escludendo i processi legittimi tramite whitelist (AllowedCryptoProcesses — tipicamente software di cifratura disco, client VPN, browser).

Su Linux, il focus si sposta su auditd e osquery. La analytic AN0401 cerca processi inattesi — bash, python, binari custom — che caricano dinamicamente libcrypto ed effettuano operazioni AES o RC4 prima di avviare sessioni in uscita. Il parametro TrafficAsymmetryRatio è particolarmente utile: un canale C2 tipico mostra un rapporto asimmetrico tra dati inviati e ricevuti, con brevi beacon in uscita e risposte più voluminose contenenti comandi.

Per macOS (AN0402), il Unified Log registra le invocazioni alle API crittografiche del Security framework. L'alert deve concentrarsi su launchd job o processi utente che generano connessioni con payload randomizzati non coerenti con i pattern TLS standard. Il parametro PayloadEntropyThreshold definisce la soglia di entropia sopra la quale il traffico viene segnalato.

A livello di rete (AN0404), l'indicatore più affidabile è la presenza di flussi cifrati ad alta entropia che non presentano i pattern tipici dell'handshake TLS: assenza di Client Hello, certificati, o negoziazione di cipher suite. Strumenti come Zeek (open source) o Suricata (open source) possono rilevare questi flussi analizzando NetFlow/IPFIX. In ambienti ESXi (AN0403), i daemon hostd e vpxa che usano cifratura simmetrica per connessioni esterne verso host non inclusi nella baseline vCenter rappresentano un indicatore ad alta fedeltà.

La mitigazione ufficiale M1031 — Network Intrusion Prevention raccomanda l'uso di firme IDS/IPS per identificare il traffico di malware noti. Questo funziona bene per famiglie con chiavi hardcoded — come NETEAGLE che usa RC4 con la chiave fissa "ScoutEagle", o WarzoneRAT con password "warzone160\x00" — ma è inefficace contro implementazioni con chiavi negoziate dinamicamente.

Nella ricostruzione forense di un'intrusione che usa crittografia simmetrica per il C2, la prima domanda è: dove trovo la chiave? La risposta determina se potrai decifrare il traffico catturato e ricostruire l'intera sequenza di comandi impartiti dall'attaccante.

Gli artefatti principali su Windows si distribuiscono su tre livelli. Il primo è il processo stesso: una memory dump del processo malevolo spesso contiene la chiave simmetrica in chiaro, perché il malware deve tenerla in memoria per cifrare e decifrare in tempo reale. Tool come Volatility 3 (open source) permettono di ispezionare lo spazio di memoria del processo sospetto:

vol -f memory.raw windows.memmap --pid <PID> --dump

Il file risultante può essere analizzato con strings o con pattern matching per individuare chiavi candidate. Per malware con chiavi hardcoded — come RedLeaves che ha usato le chiavi "88888888" e "babybear", o QuasarRAT con la sua pre-shared key AES — la ricerca nel dump è spesso banale.

Il secondo livello è il registro eventi Sysmon. Gli EventCode 7 (DLL Load) documentano il momento esatto in cui il processo carica le librerie crittografiche, mentre gli EventCode 3 (Network Connection) registrano destinazione, porta e timestamp di ogni connessione C2. La correlazione temporale tra caricamento di bcryptprimitives.dll e prima connessione in uscita definisce un punto preciso nella timeline.

Il terzo livello è il traffico di rete. Se l'organizzazione dispone di PCAP completi (da Zeek, Suricata, o una soluzione di full packet capture), e la chiave è stata recuperata dalla memoria o dal binario, è possibile decifrare retroattivamente l'intero flusso C2. Per RC4, la decifratura è particolarmente semplice dato che lo stesso keystream cifra e decifra.

Su Linux, auditd fornisce i record SYSCALL che documentano le chiamate di sistema associate all'apertura di socket e al caricamento di librerie. Il file /proc/<PID>/maps su un sistema live mostra le librerie mappate in memoria, inclusa libcrypto.so se presente.

Un caso pratico viene dalla campagna Operation Dream Job (C0022, 2019-2020): Lazarus Group ha utilizzato una chiave AES per comunicare con il proprio server C2. In un'indagine su questa campagna, il recupero della chiave AES dal binario avrebbe permesso di decifrare i PCAP e ricostruire l'intera sequenza di comandi eseguiti sui sistemi compromessi nei settori difesa e aerospaziale.

Nella campagna Frankenstein (C0001, inizio 2019), gli attori hanno combinato RC4 byte stream e AES-CBC, creando un doppio livello crittografico. La timeline forense in casi simili richiede di identificare prima il layer esterno (tipicamente RC4, più leggero) e poi decifrare il payload interno AES con la chiave recuperata.

La scelta dell'algoritmo simmetrico per il C2 è una firma comportamentale spesso sottovalutata. Non tutti i gruppi cifrano allo stesso modo, e le preferenze crittografiche rivelano livelli di sofisticazione, toolchain condivise e talvolta legami operativi tra cluster apparentemente distinti.

Lazarus Group (G0032) rappresenta il caso più eclettico: il suo arsenale crittografico comprende XOR con operazioni ADD e SUB, cifratura Caracachs, AES, e semplice XOR su varianti diverse. Questa varietà riflette l'uso di team di sviluppo multipli e l'evoluzione del malware nel tempo. La campagna Operation Dream Job (C0022) ha consolidato l'uso di AES per il C2, mentre nella 3CX Supply Chain Attack (C0057, 2022-2023) — il primo caso documentato di compromissione supply chain a cascata — il modulo VEILEDSIGNAL ha gestito le comunicazioni C2 con un approccio modulare. Quest'ultima campagna, che ha colpito oltre 600.000 clienti 3CX con focus secondario sui settori difesa e criptovalute, dimostra come il gruppo adatti la complessità crittografica al tipo di operazione.

Mustang Panda (G0129) mostra una preferenza per l'approccio stratificato: RC4, AES, XOR con byte 0x5a e compressione LZO in combinazione. I software associati come TONESHELL usano RC4 con rolling XOR key di lunghezza variabile (0x20-0x200 byte), e PUBLOAD implementa RC4 puro. Questa coerenza nella scelta di RC4 come algoritmo primario è un marker utile per l'attribuzione.

BRONZE BUTLER (G0064) differenzia la cifratura per malware: RC4 per Datper, AES per xxmm, e un algoritmo XOR custom nello strumento RarStar. Questo schema è tipico dei gruppi che mantengono toolkit multipli per scenari operativi diversi.

Sul fronte medio-orientale, MuddyWater (G0069) e Stealth Falcon (G0038) mostrano approcci differenti: AES per il primo, RC4 con chiave hardcoded per il secondo. APT33 (G0064) preferisce AES, allineandosi con gli standard crittografici più robusti. Un pattern interessante emerge con RedCurl (G1039) che specifica AES-128 CBC, un dettaglio implementativo che può servire come indicatore in regole di detection.

Il gruppo Volt Typhoon (G1017), focalizzato su infrastrutture critiche, ha impiegato AES in una versione modificata della web shell Awen — un approccio che bilancia la necessità di cifratura con l'uso di tool living-off-the-land. Contagious Interview (G1052), legato a operazioni di social engineering nel settore tech, ha scelto RC4 per il traffico C2, mantenendo un profilo implementativo semplice.

La campagna RedPenguin (C0056, 2024-2025), investigata da Juniper, ha rivelato l'uso di RC4 per cifrare messaggi C2 in uscita da versioni custom della backdoor TINYSHELL deployate su router Juniper MX Series. Questo caso è significativo perché dimostra l'estensione della cifratura simmetrica C2 a dispositivi di rete embedded, un trend in crescita.

Framework MITRE ATT&CK: T1573.001, TA0011. Campagne: C0022 (Operation Dream Job), C0056 (RedPenguin), C0057 (3CX Supply Chain Attack), C0001 (Frankenstein). Detection: Sysmon, auditd, Zeek, Suricata. Tool: Cobalt Strike, Sliver, Volatility 3, Wireshark, pycryptodome. Integrato con conoscenza professionale per tool e procedure operative.