Certificati Digitali: Obtain Capabilities: Digital Certificates (T1588.004)

Iniziamo dal metodo più semplice: ottenere certificati gratuiti da Let's Encrypt, tecnica utilizzata da Silent Librarian nelle loro campagne di phishing. Il processo richiede solo il controllo di un dominio:

certbot certonly --standalone -d phishing-domain.com

Per scenari più avanzati, possiamo replicare la "certificate impersonation" usata da Sea Turtle. Prima identifichiamo il certificato target con:

openssl s_client -connect target.com:443 -servername target.com | openssl x509 -text

Estraiamo i dettagli del Subject e del SAN (Subject Alternative Name), poi generiamo una CSR identica:

openssl req -new -key fake.key -out fake.csr -subj "/C=US/ST=California/L=San Jose/O=Target Corp/CN=target.com"

La tecnica di UNC3886 richiede accesso a dispositivi di rete compromessi. In laboratorio, possiamo simulare l'estrazione da un FortiGate usando:

diagnose debug cli 8 show full-configuration | grep certificate

Per testare l'installazione di certificati rubati su infrastrutture C2, configuriamo nginx con il certificato sottratto. Creiamo prima la catena completa unendo certificato e chiave privata, poi modifichiamo la configurazione del server per utilizzarli nelle comunicazioni HTTPS.

I tool specializzati includono SSLyze per l'analisi dei certificati in uso e Certstream per monitorare in tempo reale i nuovi certificati emessi, utile per identificare domini sospetti registrati dagli attaccanti.

La detection richiede un approccio multistrato che combini monitoraggio dei certificati e analisi comportamentale. L'analisi DET0848 suggerisce di tracciare i nuovi certificati emessi e quelli in uso sui siti web.

Configurate alert per certificati con caratteristiche anomale. I malware di Lazarus Group e Mustang Panda spesso utilizzano certificati con CN generici o date di validità sospette:

event_id: certificate_anomaly
condition: cert.subject.CN matches "localhost" OR cert.validity < 30 days
severity: medium

Monitorate i Certificate Transparency logs per domini simili ai vostri. BlackTech ha utilizzato certificati validi rubati, quindi cercate duplicazioni del vostro CN su IP esterni:

source: CT_logs
alert: cert.subject.CN = "company.com" AND ip_address NOT IN trusted_ranges

I certificati self-signed su porte non standard indicano spesso C2 nascosti. Create baseline del traffico TLS normale e allertate su deviazioni, prestando attenzione ai certificati Cloudflare Origin CA come quelli usati nella campagna RedDelta.

Per ridurre i falsi positivi, whitelistate i certificati dei vostri CDN e servizi cloud. Correlate gli alert con altri indicatori: un nuovo certificato Let's Encrypt seguito da traffico HTTPS anomalo verso IP sconosciuti merita investigazione immediata.

L'analisi forense dei certificati digitali richiede l'esame di molteplici artefatti per ricostruire come e quando sono stati compromessi o utilizzati impropriamente.

Su Windows, i certificati installati si trovano nel Certificate Store. Utilizzate certutil per esportare e analizzare:

certutil -store -user My > user_certs.txt certutil -store Root > trusted_roots.txt

Cercate timestamp anomali o certificati con subject sospetti. La campagna Operation Honeybee ha utilizzato certificati Adobe rubati - verificate sempre l'Issuer e il Serial Number contro fonti pubbliche.

Su Linux, esaminate le directory standard dei certificati:

• /etc/ssl/certs/ per certificati di sistema
• ~/.pki/nssdb/ per certificati utente Firefox/Chrome
• /etc/nginx/ssl/ o /etc/apache2/ssl/ per certificati server

La timeline reconstruction parte dall'analisi dei log di accesso. LuminousMoth ha deployato malware con certificati validi - cercate nei log web richieste HTTPS anomale correlate temporalmente con l'installazione di nuovi certificati.

Per i dispositivi di rete compromessi come nel caso UNC3886, recuperate i backup delle configurazioni e confrontate i certificati. I timestamp di modifica dei file di configurazione spesso rivelano quando è avvenuta la sostituzione. Correlate questi eventi con i log di autenticazione amministrativa per identificare l'account compromesso utilizzato per l'installazione.

L'analisi dei pattern di utilizzo dei certificati digitali rivela molto sulle capacità e gli obiettivi degli APT.

Lazarus Group e Mustang Panda mostrano un approccio sofisticato, acquisendo certificati SSL per i loro domini C2. Questo indica operazioni a lungo termine con infrastrutture persistenti. Entrambi i gruppi operano dall'Asia orientale ma con obiettivi differenti: Lazarus si concentra su operazioni finanziarie e spionaggio, mentre Mustang Panda targettizza organizzazioni governative nel Sud-Est asiatico.

Silent Librarian utilizza Let's Encrypt per le pagine di phishing, suggerendo operazioni più agili e a basso costo. Il gruppo iraniano si concentra su università e istituzioni accademiche, sfruttando la familiarità delle vittime con portali web legittimi protetti da HTTPS.

Sea Turtle rappresenta l'evoluzione più pericolosa con la "certificate impersonation". Questo gruppo, probabilmente sponsorizzato da uno stato del Medio Oriente, compromette le DNS e certificate authority per operazioni di spionaggio su larga scala contro telco e ISP.

La campagna Indian Critical Infrastructure con certificati che imitano Microsoft indica attori statali cinesi (RedEcho/TAG38) focalizzati su infrastrutture critiche. Il pattern suggerisce preparazione per operazioni disruptive future, non solo spionaggio.

Il trend emergente mostra APT che combinano certificati legittimi con supply chain attacks, rendendo essenziale il monitoraggio continuo dell'ecosistema dei certificati trusted.

Tecnica MITRE ATT&CK T1588.004 documenta l'acquisizione e uso malevolo di certificati digitali. Le campagne Operation Honeybee, Indian Critical Infrastructure Intrusions e RedDelta evidenziano l'evoluzione delle tecniche. Risorse di detection includono Certificate Transparency logs e servizi di internet scanning per identificazione proattiva.