Tunnel Protocolli: Protocol Tunneling (T1572)

Il tunneling SSH rimane il metodo più diretto per testare questa tecnica. Su Linux, il comando base per creare un tunnel locale è:

ssh -L 8080:internal-server:80 user@gateway-server

Questo inoltra la porta locale 8080 verso un server interno attraverso il gateway. Per scenari più complessi, Plink su Windows offre funzionalità simili:

plink.exe -ssh -L 3389:10.0.0.5:3389 user@external-server

Gli strumenti moderni ampliano le possibilità. ngrok permette di esporre servizi interni con semplicità disarmante, mentre Chisel offre tunneling bidirezionale attraverso HTTP/HTTPS. La configurazione di un tunnel DNS richiede maggiore preparazione ma garantisce evasione superiore.

Per simulare tecniche APT avanzate, combina più livelli. Prima stabilisci un tunnel SSH verso un jump host compromesso, poi utilizza quel tunnel per lanciare ulteriori connessioni verso la rete interna. Strumenti come FRP o Neo-reGeorg automatizzano catene complesse di tunneling.

Il testing dovrebbe includere scenari realistici: tunneling di RDP per movimento laterale, incapsulamento di traffico SMB per trasferimento file, e utilizzo di DoH per comunicazioni C2 resilienti. Monitora sempre il traffico generato per comprendere le tracce forensi lasciate.

La detection del tunneling richiede correlazione tra eventi di processo e traffico di rete. Su Windows, monitora EventCode 1 di Sysmon per processi come plink.exe, ssh.exe o netsh.exe che stabiliscono connessioni outbound.

L'analisi comportamentale è cruciale. Cerca asimmetrie nel traffico: un tunnel SSH che trasporta RDP mostrerà pattern di bytes sent/received anomali rispetto a normale traffico SSH interattivo. Configura soglie basate su baseline del tuo ambiente, tipicamente rapporti superiori a 10:1 indicano tunneling.

Su Linux, auditd cattura syscall sospette. Monitora connect e bind da processi non standard, specialmente se seguiti da volumi di traffico anomali. La presenza di flag come -L o -D negli argomenti di sshd segnala port forwarding attivo.

I falsi positivi derivano principalmente da utilizzo legittimo di tunnel da parte di amministratori. Mantieni una whitelist di tool autorizzati e utenti che possono eseguire tunneling. Implementa alerting graduato: bassa severità per tunneling da IP interni noti, alta per connessioni verso destinazioni esterne non categorizzate.

La correlazione temporale migliora l'accuratezza: un processo che crea tunnel seguito da traffico anomalo entro 60 secondi ha alta probabilità di essere malevolo.

Gli artefatti del tunneling persistono in molteplici locazioni. Su Windows, esamina le chiavi di registro per configurazioni SSH salvate, specialmente sotto HKCU\Software\SimonTatham per tracce di PuTTY/Plink.

I log di rete rivelano pattern distintivi. Connessioni SSH di lunga durata con volumi di traffico sproporzionati indicano tunneling attivo. Durante la campagna C0027, Scattered Spider lasciò tracce di tunnel SSH aperti per giorni, visibili nei firewall log come sessioni persistenti verso IP di cloud provider.

La ricostruzione temporale beneficia dell'analisi di prefetch files e shimcache. Processi di tunneling eseguiti ripetutamente lasciano tracce in C:\Windows\Prefetch, permettendo di identificare quando il tunneling è iniziato e con quale frequenza viene utilizzato.

Su sistemi Linux, /var/log/auth.log registra tentativi di port forwarding. Cerca entry contenenti "Accepted publickey" seguiti da "channel" e numeri di porta non standard. I file di configurazione SSH in ~/.ssh/config possono contenere tunnel preconfigurati dall'attaccante.

Memory forensics rivela tunnel attivi. Processi con socket aperti verso localhost su porte non standard, combinati con connessioni esterne, indicano tunneling in corso. Strumenti come Volatility permettono di mappare queste relazioni dalla memoria RAM.

FIN6 e FIN7 dimostrano l'evoluzione del tunneling nel cybercrime finanziario. Entrambi utilizzano Plink per tunnel SSH, ma FIN7 ha evoluto le tecniche verso OpenSSH per maggiore flessibilità. Questa progressione suggerisce che gruppi maturi migrano verso tool più versatili.

I gruppi iraniani OilRig e Magic Hound mostrano preferenza per tunneling RDP attraverso SSH, riflettendo il loro focus su accesso persistente a lungo termine. La sovrapposizione di tool tra questi gruppi suggerisce condivisione di TTP o possibili collegamenti operativi.

Scattered Spider rappresenta l'approccio moderno: utilizzo massiccio di tool cloud-native come ngrok e Teleport per tunneling instant. Durante C0027, il gruppo dimostrò capacità di adaptare rapidamente l'infrastruttura di tunneling, suggerendo automazione nella gestione dei tunnel.

Le campagne recenti rivelano trend preoccupanti. Cutting Edge introdusse tunneling DNS via Iodine, mentre SharePoint ToolShell Exploitation sfruttò ngrok per payload delivery immediato post-exploit. L'adozione di servizi di tunneling legittimi complica attribution e takedown.

L'overlap geografico mostra concentrazioni in Asia-Pacifico per gruppi che prediligono tunneling complesso multi-hop, mentre attori occidentali tendono verso soluzioni più dirette ma automatizzate.

Framework MITRE ATT&CK documenta Protocol Tunneling come T1572. Le campagne C0027, Cutting Edge e SharePoint ToolShell Exploitation forniscono casi studio recenti. Risorse di detection includono sigma rules per Sysmon e osquery queries per comportamenti di tunneling.