Accesso Diretto ai Volumi: Direct Volume Access (T1006)

Per comprendere questa tecnica, inizia con l'uso di vssadmin per creare una copia shadow del volume. Il comando base su Windows è:

vssadmin create shadow /for=C:

Una volta creata la shadow copy, puoi accedere direttamente al volume attraverso il percorso simbolico generato. Per automatizzare l'estrazione di file critici come il database NTDS.dit, utilizza esentutl:

esentutl /y "\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit" /d C:\temp\ntds.dit

Scattered Spider ha dimostrato l'efficacia di questa tecnica creando copie shadow dei dischi dei domain controller virtuali. Il gruppo ha estratto il file NTDS.dit senza triggerare alert sui normali canali di monitoraggio file.

Per un approccio PowerShell più discreto, considera l'uso di NinjaCopy che implementa l'accesso raw ai volumi. Lo script permette di leggere file bloccati bypassando i file handle aperti:

Import-Module NinjaCopy.ps1
Copy-RawItem -Path "C:\Windows\System32\config\SAM" -Destination "C:\temp\SAM"

La bellezza di questa tecnica sta nella sua semplicità operativa. Volt Typhoon ha dimostrato come l'uso di comandi nativi Windows possa passare inosservato per mesi, eseguendo vssadmin per creare copie shadow senza destare sospetti.

In laboratorio, configura un ambiente con file system monitoring attivo (tipo Sysmon) e testa come l'accesso diretto ai volumi bypassa completamente il logging standard delle operazioni sui file.

Il rilevamento dell'accesso diretto ai volumi richiede un approccio multi-livello che va oltre il semplice monitoraggio dei processi. La chiave sta nell'identificare pattern di accesso ai device raw come \\.\C: o \Device\HarddiskVolume.

Configura Sysmon per catturare gli eventi di creazione processo con focus particolare su Event ID 1 quando il command line contiene riferimenti a volumi raw. Il filtro regex deve includere pattern come \\.\PhysicalDrive* e \Device\HarddiskVolume.

L'analisi comportamentale diventa critica quando si correlano eventi multipli. Un processo PowerShell che accede a un volume raw seguito dalla creazione di file in directory temporanee costituisce un forte indicatore di compromissione.

Per i comandi shadow copy, monitora specificamente l'esecuzione di vssadmin e wbadmin attraverso i Windows Security Event Log. L'Event ID 4688 (process creation) combinato con command line logging fornisce visibilità immediata su questi tool.

APT28 nella campagna Nearest Neighbor ha dimostrato come l'uso di vssadmin possa essere mascherato all'interno di script più complessi. Il SOC deve quindi implementare detection rules che identificano non solo l'esecuzione diretta ma anche l'invocazione attraverso interpreti come cmd.exe o powershell.exe.

La gestione dei falsi positivi richiede whitelisting intelligente. Processi di backup legittimi utilizzano tecniche simili, quindi è essenziale creare baseline del comportamento normale e alertare solo su deviazioni significative come accessi fuori orario o da processi non autorizzati.

L'analisi forense dell'accesso diretto ai volumi inizia con l'identificazione degli artefatti lasciati dalle shadow copy. Il Volume Shadow Copy Service (VSS) mantiene metadata dettagliati nel registro di sistema sotto HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore.

Esamina attentamente il file System Volume Information presente nella root di ogni volume. Qui trovi le shadow copy create, complete di timestamp e identificatori univoci che permettono di ricostruire quando l'attaccante ha operato.

Gli Event Log di Windows conservano tracce preziose. L'Event ID 7036 nel System log indica quando il servizio VSS viene avviato, mentre nel Microsoft-Windows-VolumeSnapshot-Driver/Operational log trovi dettagli granulari su ogni operazione.

La campagna APT28 Nearest Neighbor ha lasciato pattern forensi distintivi. L'esecuzione di vssadmin per il dump di NTDS.dit ha generato artefatti nel Prefetch, con file .pf che documentano l'esecuzione del tool e i file acceduti.

Per ricostruire la timeline completa, correla i timestamp delle shadow copy create con altri indicatori di attività sospetta. L'estrazione di NTDS.dit tipicamente coincide con tentativi di movimento laterale o escalation dei privilegi visibili nei Security Event Log.

L'analisi della $MFT (Master File Table) può rivelare accessi diretti ai volumi anche quando i log sono stati cancellati. Cerca entry con nomi di file che iniziano con \\.\ o riferimenti a device path non standard.

Scattered Spider rappresenta l'evoluzione moderna degli attaccanti che prediligono tecniche living-off-the-land. Il gruppo ha perfezionato l'uso delle shadow copy per l'estrazione di NTDS.dit dai domain controller virtuali, dimostrando sofisticazione nell'targeting di infrastrutture cloud ibride.

Volt Typhoon porta questa tecnica a un livello superiore, integrando vssadmin in catene di attacco prolungate. Il gruppo mantiene persistenza per mesi, utilizzando l'accesso ai volumi per estrarre credenziali senza triggerare sistemi di detection tradizionali.

La campagna APT28 Nearest Neighbor (2022-2024) ha rivelato un pattern operativo distintivo. APT28 combina l'accesso diretto ai volumi con tecniche di prossimità fisica, sfruttando reti Wi-Fi vicine al target per poi utilizzare vssadmin nell'estrazione di NTDS.dit.

L'overlap negli strumenti utilizzati suggerisce condivisione di TTP tra gruppi o evoluzione convergente delle tecniche. Tutti e tre gli attori dimostrano preferenza per tool nativi Windows, minimizzando la footprint e massimizzando l'evasione.

Il trend emergente indica movimento verso l'automazione di queste tecniche. Gli attaccanti stanno integrando l'accesso diretto ai volumi in framework modulari, permettendo estrazione massiva di dati sensibili in tempi ridotti. L'evoluzione futura probabilmente includerà targeting specifico di volumi cloud e container, estendendo la tecnica oltre i tradizionali file system Windows.

Framework MITRE ATT&CK documenta Direct Volume Access (T1006) come tecnica di Defense Evasion utilizzata da APT28, Scattered Spider e Volt Typhoon. La campagna APT28 Nearest Neighbor (2022-2024) fornisce case study dettagliati sull'uso operativo. Risorse di detection includono Sysmon configuration per raw volume access e Volume Shadow Copy Service monitoring guidelines.