Acquisizione Server: Acquire Infrastructure - Server (T1583.004)

Replicare l'acquisizione di infrastruttura server richiede un approccio metodico che simuli le tecniche degli APT. Il primo passo consiste nell'identificare provider che accettano pagamenti anonimi, proprio come ha fatto Kimsuky con carte prepagate e criptovalute.

Per testare l'anonimato dell'infrastruttura, puoi utilizzare Tor Browser per registrare account presso provider VPS che accettano Bitcoin. Crea una nuova identità digitale con torsocks e procedi alla registrazione:

torsocks curl -X POST https://provider.com/api/register -d "email=test@protonmail.com"

Una volta acquisito il server, configura immediatamente un reverse proxy per mascherare l'origine del traffico C2. Nginx risulta particolarmente efficace per questo scopo, specialmente se configurato con certificati SSL validi ottenuti tramite Let's Encrypt.

Mustard Tempest ha dimostrato l'importanza di diversificare l'infrastruttura, mantenendo server attivi per periodi variabili. Puoi simulare questo comportamento automatizzando la rotazione dei server con script che gestiscono il provisioning e la terminazione delle istanze cloud.

Per replicare la strategia di CURIUM, che utilizza server dedicati per ruoli specifici, configura almeno tre server distinti: uno per il C2 primario, uno per l'esfiltrazione dati e uno come backup. Utilizza SSH tunneling per creare canali sicuri tra i server:

ssh -D 9050 -N -f user@c2server.com

L'automazione del deployment risulta cruciale. Strumenti come Ansible o Terraform permettono di replicare rapidamente l'infrastruttura, proprio come fanno i threat actor professionali che devono gestire decine di server contemporaneamente.

La detection di server malevoli acquisiti richiede un approccio basato su pattern comportamentali piuttosto che su indicatori statici. I server legittimamente acquistati non generano alert tradizionali, quindi bisogna focalizzarsi sui comportamenti anomali post-deployment.

Configura regole di correlazione che identifichino connessioni verso IP di hosting provider noti per accettare pagamenti anonimi. Mantieni una lista aggiornata di ASN (Autonomous System Numbers) associati a provider VPS economici o che offrono trial gratuiti.

Il monitoraggio dei certificati SSL/TLS rappresenta un vettore di detection efficace. Molti APT utilizzano certificati self-signed o con pattern riconoscibili. Implementa alert per certificati con CN (Common Name) generici o lifetime inferiori a 30 giorni.

La correlazione temporale delle connessioni verso nuovi server esterni può rivelare pattern sospetti. Se multiple workstation iniziano a comunicare con un server registrato da meno di 7 giorni, questo potrebbe indicare un'infrastruttura C2 appena deployata.

Sandworm Team ha utilizzato reseller invece di provider diretti, complicando l'attribuzione. Per questo motivo, monitora anche connessioni verso IP che cambiano frequentemente provider o geolocalizzazione, segnale di possibili servizi di hosting proxy.

L'analisi del traffico TLS può rivelare anomalie anche senza decryption. JA3/JA3S fingerprinting permette di identificare client e server software specifici, utile per rilevare tool C2 noti anche quando utilizzano infrastruttura legittima.

Ricostruire l'utilizzo di server esterni richiede l'analisi incrociata di molteplici artefatti. I DNS cache files rappresentano spesso il primo indicatore di comunicazioni verso nuova infrastruttura, specialmente quando correlati con timestamp di registrazione domini.

Durante Operation Honeybee, gli attaccanti hanno utilizzato account gratuiti per server di controllo. Cerca nei browser artifacts tracce di registrazioni a servizi cloud, prestando attenzione a timestamp che precedono l'inizio delle comunicazioni C2.

L'analisi dei firewall log permette di identificare il momento esatto in cui è iniziata la comunicazione con i server malevoli. Correla questi timestamp con eventi di compromissione iniziale per determinare il tempo di preparazione dell'infrastruttura.

GALLIUM ha utilizzato server basati a Taiwan esclusivi per le loro operazioni. Questo pattern geografico può essere identificato analizzando i netflow data e mappando le comunicazioni per paese di destinazione nel tempo.

Gli artefatti di Windows Event Log, in particolare EventID 5156, documentano le connessioni di rete autorizzate. Filtra per processi non comuni che stabiliscono connessioni verso IP esterni per identificare potenziali beacon C2.

La persistenza delle comunicazioni verso server acquisiti spesso lascia tracce nel registry di Windows. Chiavi sotto HKLM\System\CurrentControlSet\Services possono contenere configurazioni di servizi malevoli che puntano a server esterni.

Earth Lusca rappresenta un caso studio interessante nell'acquisizione strategica di server multipli, ognuno con ruolo specifico. Questo approccio modulare suggerisce un livello di sofisticazione operativa che va oltre il semplice utilizzo di infrastruttura C2.

L'analisi delle campagne mostra pattern geografici distintivi. Operation Dream Job ha targetizzato simultaneamente Stati Uniti, Israele, Australia, Russia e India, indicando capacità di gestire infrastruttura distribuita globalmente per evitare detection basata su geofencing.

Operation Wocao ha rivelato l'uso di Bitcoin per l'acquisto di server, trend in crescita tra APT cinesi. Il monitoraggio di wallet Bitcoin associati a provider VPS può fornire early warning su nuove infrastrutture in preparazione.

La sovrapposizione di TTP tra campagne come Operation Dream Job, North Star e Interception suggerisce il riutilizzo di infrastruttura tra operazioni. Tracciare server che rimangono attivi post-campagna può rivelare connessioni tra attacchi apparentemente non correlati.

Night Dragon ha dimostrato come l'infrastruttura dedicata sia essenziale per operazioni di lungo termine contro settori critici. Il targeting di SCADA systems richiede server stabili per mantenere accesso persistente, indicatore utile per prevedere la durata pianificata di una campagna.

Il trend verso l'uso di reseller e intermediari, come dimostrato da Sandworm Team, complica l'attribuzione ma rivela anche pattern operativi. APT che utilizzano questa tecnica tendono a pianificare operazioni di lunga durata che richiedono maggiore operational security.

Framework MITRE ATT&CK documenta questa tecnica come T1583.004 nella tattica Resource Development. Le campagne Night Dragon, Operation Honeybee, Wocao e Dream Job forniscono case study dettagliati sull'utilizzo operativo di server acquisiti in attacchi reali dal 2009 al 2020.