Credenziali di Dominio in Cache: Cached Domain Credentials (T1003.005)

Per simulare questa tecnica in laboratorio servono due cose: un sistema con credenziali di dominio cached e privilegi SYSTEM (Windows) o root (Linux). Il numero predefinito di credenziali memorizzate è governato dal valore di registro CachedLogonsCount — in un lab conviene impostarlo a 10 per avere materiale su cui lavorare.

Windows — Estrazione con Mimikatz. Dopo aver ottenuto un token SYSTEM (ad esempio con psexec -s -i cmd), il modulo lsadump::cache di Mimikatz (open source) legge direttamente l'hive SECURITY dal registro e restituisce gli hash DCC2. Il comando è lineare:

mimikatz # lsadump::cache

L'output elenca gli utenti di dominio che hanno effettuato logon su quel sistema, ciascuno con il relativo hash MS-Cache v2. In alternativa, per operazioni più silenziose o su sistemi remoti, secretsdump.py di Impacket (open source) può estrarre le stesse informazioni a partire dagli hive salvati:

reg save HKLM\SECURITY C:\temp\SECURITY /y reg save HKLM\SYSTEM C:\temp\SYSTEM /y

secretsdump.py -security C:\temp\SECURITY -system C:\temp\SYSTEM LOCAL

Il parametro LOCAL indica che l'estrazione avviene da file e non da un host remoto. Secretsdump identifica automaticamente le cached entries e le presenta nel formato $DCC2$10240#username#hash.

Windows — Approccio con Cachedump. Il tool Cachedump (open source) è uno strumento più datato ma ancora funzionale, progettato specificamente per estrarre hash da cache entry information del registro. Richiede privilegi SYSTEM e produce output diretto degli hash cached.

Linux — Estrazione da SSSD. Se il target è un host Linux integrato con Active Directory tramite SSSD, il database da colpire si trova in /var/lib/sss/db/cache.[domain].ldb. Con accesso root, il tool tdbdump (open source, incluso nel pacchetto tdb-tools su distribuzioni Debian-based) esporta il contenuto:

sudo tdbdump /var/lib/sss/db/cache.dominio.local.ldb

L'output è verboso; per filtrare solo le entry con hash, un pipe con grep cachedPassword restringe il risultato. Per ambienti Quest VAS il percorso diventa /var/opt/quest/vas/authcache/vas_auth.vdb.

Cracking degli hash. Gli hash DCC2 vanno craccati offline. Hashcat (open source) supporta il formato con il mode 2100:

hashcat -m 2100 hashes.txt wordlist.txt -r rules/best64.rule

La derivazione PBKDF2 con 10.240 iterazioni rende il processo sensibilmente più lento rispetto agli hash NTLM (mode 1000), quindi è consigliabile usare una buona wordlist con regole piuttosto che puro brute force.

Il dump delle cached credentials lascia tracce su più livelli: accesso al registro, esecuzione di processi sospetti e lettura di file di database su Linux. La chiave è correlare queste attività piuttosto che affidarsi a singoli indicatori, che genererebbero troppi falsi positivi.

Windows — Log critici e analisi. Le sorgenti primarie sono WinEventLog:Security e WinEventLog:Sysmon. Sysmon (open source) è indispensabile perché offre visibilità granulare su creazione processi e accesso al registro. Il primo segnale da monitorare è l'esecuzione di reg.exe con argomenti che puntano all'hive SECURITY. In Sysmon, un evento EventCode 1 (Process Create) con command line contenente reg save e HKLM\SECURITY è un indicatore ad alta fedeltà. I casi legittimi sono rari: tipicamente solo backup schedulati di disaster recovery, facilmente escludibili per account e percorso di destinazione.

Il secondo segnale è l'accesso diretto all'hive SECURITY da parte di processi non standard. Sysmon EventCode 13 (RegistryEvent — Value Set) e EventCode 10 (ProcessAccess) verso lsass.exe completano il quadro. L'analisi AN1417 suggerisce di impostare una finestra di correlazione temporale tra esecuzione del processo e accesso al registro o ai file: un reg save seguito da un'invocazione di secretsdump o un processo PowerShell che accede alla stessa directory entro pochi minuti è un pattern solido.

Per il tuning, il campo TargetFilename va adattato alla versione del sistema operativo e a eventuali esportazioni personalizzate di hive del registro. I pattern su CommandLine per reg save, secretsdump e tool PowerShell di dumping vanno calibrati sugli strumenti effettivamente presenti nell'organizzazione.

Linux — Audit su file sensibili. L'analisi AN1418 si basa su auditd:SYSCALL, auditd:EXECVE e linux:osquery. La regola auditd chiave monitora gli accessi in lettura ai path SSSD e Quest VAS:

-w /var/lib/sss/db/ -p r -k sssd_cache_access

Un alert che combina l'esecuzione di tdbdump (catturata da EXECVE) con una precedente escalation a root riduce i falsi positivi quasi a zero in ambienti dove l'accesso a quei database non è previsto nelle operazioni ordinarie. I percorsi dei file possono variare tra deployment diversi, quindi il tuning su filepath è essenziale.

Controlli preventivi. L'aggiunta degli utenti privilegiati al gruppo Protected Users di Active Directory limita il caching delle credenziali in chiaro. Ridurre il valore CachedLogonsCount nel registro a 1 o 2 (dove operativamente sostenibile) diminuisce la superficie di attacco. Un baseline con Osquery (open source) che verifichi periodicamente quel valore di registro segnala modifiche non autorizzate.

L'analisi forense delle cached domain credentials ruota attorno a due scenari distinti — Windows e Linux — ciascuno con artefatti specifici e una catena di evidenze che va ricostruita in sequenza temporale.

Windows — Artefatti principali. Il primo elemento da verificare è il valore di registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount. Se è stato modificato (aumentato rispetto al default di 10 o azzerato dopo il dump per coprire le tracce), la data di ultima modifica della chiave è già un timestamp prezioso. L'hive SECURITY, che contiene le cached entries sotto Cache\NL$x, va estratto e analizzato con strumenti come RegRipper (open source) o direttamente con Impacket.

Sul piano dell'esecuzione, gli artefatti di Prefetch forniscono evidenze dell'avvenuto lancio di tool come Mimikatz o Cachedump. Il file .pf corrispondente contiene il timestamp di prima e ultima esecuzione e i file referenziati durante il run. Se l'attaccante ha usato reg.exe per salvare gli hive, la MFT ($MFT) registra la creazione dei file di output — ad esempio un file SECURITY o SYSTEM in una directory temporanea. La correlazione tra il timestamp di creazione di quei file e l'esecuzione del processo nell'Event Log di Sysmon (EventCode 1) o di Security (EventCode 4688 con audit della command line abilitato) costruisce un segmento robusto della timeline.

L'analisi della ShimCache (AppCompatCache) e dell'Amcache conferma ulteriormente l'esecuzione di binari non standard. Se l'attaccante ha usato Okrum — il malware documentato che impiega una versione modificata di Quarks PwDump — la firma del binario e il suo hash nel registro Amcache possono essere correlati con gli indicatori noti.

Linux — Artefatti principali. I log di auditd sono la fonte primaria. Le syscall open e read sui path /var/lib/sss/db/cache.*.ldb o /var/opt/quest/vas/authcache/vas_auth.vdb, registrate con il record SYSCALL, documentano l'accesso. Il record EXECVE associato rivela il comando esatto utilizzato, inclusi eventuali pipe di filtraggio.

La timeline del filesystem (tramite tool come fls di The Sleuth Kit, open source) sui file di cache mostra i timestamp di ultimo accesso (atime, se non disabilitato da opzioni di mount come noatime). L'analisi della bash_history o dei log di shell dell'utente root può rivelare i comandi utilizzati, a meno che l'attaccante non li abbia cancellati — nel qual caso la dimensione ridotta anomala del file history diventa essa stessa un indicatore.

Un artefatto spesso trascurato è il journal di systemd: journalctl può contenere messaggi di SSSD relativi ad accessi anomali al database, utili per incrociare la timeline con gli eventi di auditd.

L'analisi dei gruppi che impiegano questa tecnica rivela un pattern geografico e operativo molto netto: tutti e quattro i gruppi documentati operano nell'area mediorientale e condividono lo stesso strumento primario.

APT33 è un gruppo iraniano focalizzato su settori aerospaziale, energetico e petrolchimico. Il suo utilizzo di LaZagne (open source) per la raccolta di credenziali si inserisce in una catena operativa più ampia dove il credential access alimenta il movimento laterale verso sistemi OT e IT critici. La scelta di tool pubblici e open source è una firma caratteristica: riduce i costi di sviluppo e complica l'attribuzione.

OilRig, altro attore iraniano, ha impiegato LaZagne specificamente per estrarre credenziali da sistemi compromessi e da installazioni Outlook Web Access. Questo dettaglio è tatticamente significativo: il dump delle cached credentials non è fine a sé stesso, ma serve ad alimentare l'accesso a risorse web-based dove le stesse credenziali di dominio vengono riutilizzate.

MuddyWater, sempre di matrice iraniana, replica lo stesso schema: credential dumping con LaZagne come passaggio standard della propria catena operativa. La convergenza di tre gruppi iraniani distinti sullo stesso tool suggerisce un ecosistema condiviso di risorse, formazione o playbook operativi.

Leafminer completa il quadro mediorientale. Anche questo gruppo ha utilizzato LaZagne insieme ad altri strumenti per il recupero di credenziali, confermando il pattern regionale.

Il filo conduttore è evidente: LaZagne funziona da denominatore comune. Questo tool copre il dump di credenziali da molteplici sorgenti — MSCache, browser, client email — con un unico eseguibile, rendendolo estremamente pratico per operatori che non vogliono o non possono sviluppare tool custom. Sul fronte software, Pupy (open source) integra direttamente LaZagne come modulo di harvesting, offrendo un framework RAT completo con credential dumping incorporato. Okrum rappresenta invece un approccio diverso, utilizzando una versione modificata di Quarks PwDump anziché LaZagne.

Per il threat intelligence operativo, il pattern suggerisce che qualsiasi organizzazione nel mirino di attori iraniani — in particolare nei settori energia, difesa e infrastrutture critiche del Medio Oriente e dell'Occidente — debba trattare il rilevamento di LaZagne come indicatore ad alta priorità. La presenza di questo tool, combinata con l'accesso a cached credentials, indica quasi certamente l'inizio di una fase di movimento laterale. Il passo successivo atteso nella kill chain è l'utilizzo delle credenziali ottenute per accedere a sistemi adiacenti, mailbox aziendali o risorse condivise, cercando di elevare ulteriormente i privilegi o raggiungere obiettivi strategici.

Framework MITRE ATT&CK v16 — T1003.005 (Cached Domain Credentials), TA0006 (Credential Access). Gruppi: G0064, G0077, G0049, G0069. Software: S0439, S0119, S0349, S0192. Mitigazioni: M1015, M1017, M1026, M1027, M1028. Detection: DET0513 (AN1417, AN1418). Integrato con conoscenza professionale per tool e procedure operative.