Credential Compromise: Valid Accounts - Domain Accounts (T1078.002)

La simulazione del compromesso di account di dominio inizia con l'acquisizione delle credenziali. Su Windows, il comando più diretto utilizza mimikatz per estrarre hash NTLM:

sekurlsa::logonpasswords

Una volta ottenute le credenziali, il movimento laterale diventa immediato. PowerShell offre cmdlet nativi per l'impersonation:

$cred = New-Object System.Management.Automation.PSCredential("DOMAIN\Administrator", $password) Invoke-Command -ComputerName SERVER01 -Credential $cred -ScriptBlock {whoami}

Cobalt Strike automatizza queste operazioni attraverso il comando make_token, permettendo l'esecuzione di comandi nel contesto di un account di dominio compromesso. La bellezza di questa tecnica sta nella sua semplicità: nessun exploit, nessun payload sospetto, solo autenticazione legittima.

Su Linux con integrazione AD, il comando kinit permette di ottenere un Ticket Granting Ticket:

kinit administrator@CORP.LOCAL klist

Per ESXi, l'accesso tramite vSphere utilizza direttamente le credenziali di dominio integrate. Il comando vim-cmd eseguito con privilegi di dominio permette controllo completo dell'infrastruttura virtuale.

Magic Hound ha dimostrato l'efficacia di questa catena combinando LSASS dumping con movimento laterale immediato. Prima estraggono credenziali con procdump, poi utilizzano wmiexec per esecuzione remota:

procdump.exe -accepteula -ma lsass.exe lsass.dmp wmiexec.py DOMAIN/Administrator@192.168.1.100

La persistenza si ottiene creando servizi Windows con credenziali di dominio o modificando Group Policy Objects. Wizard Spider utilizza regolarmente account Domain Admin per distribuire ransomware attraverso GPO, garantendo esecuzione su ogni sistema del dominio.

La detection efficace richiede correlazione tra multiple sorgenti di log. Windows Security EventID 4624 e 4625 forniscono la base, ma il vero valore emerge dal pattern analysis.

Configurate alert per logon anomali usando questa logica SIEM:

EventCode=4624 AND LogonType=3 AND SourceNetworkAddress NOT IN [TrustedSubnets] AND TimeOfDay NOT BETWEEN 08:00-18:00

Il monitoraggio Kerberos attraverso EventID 4768 e 4769 rivela pattern di autenticazione sospetti. Account di dominio che richiedono ticket per sistemi mai acceduti prima generano anomalie immediate.

Su sistemi Linux con sssd, monitorate /var/log/secure per pattern di autenticazione PAM:

pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=

Volt Typhoon ha dimostrato come account compromessi vengano utilizzati per accesso a sistemi critici. Create baseline di accesso normale per ogni account privilegiato, poi generate alert su deviazioni:

• Nuovo sistema acceduto
• Orario inusuale
• Geolocalizzazione anomala
• Multiple sessioni simultanee

L'integrazione con EDR permette correlazione processo-autenticazione. Un account Domain Admin che esegue powershell.exe con argomenti encoded base64 subito dopo il logon richiede investigazione immediata.

Per ESXi, monitorate /var/log/vmware/vpxd.log per autenticazioni di dominio:

User DOMAIN\administrator@ [10.1.1.100] logged in as JAX-WS RI

La chiave sta nel ridurre falsi positivi attraverso whitelist contestuali. Account di servizio hanno pattern prevedibili; devizioni indicano compromissione o misconfiguration.

L'analisi forense di account di dominio compromessi inizia dal Windows Security Event Log. EventID 4672 marca l'assegnazione di privilegi speciali, cruciale per identificare escalation.

La timeline si costruisce correlando:

1. Primo accesso anomalo (EventID 4624 con LogonType 3/10)
2. Privilege escalation (EventID 4672)
3. Lateral movement (EventID 4624 su sistemi multipli)
4. Persistence creation (EventID 4720 per nuovi account)

Sandworm Team lascia tracce caratteristiche: accessi da IP esterni seguiti immediatamente da creazione di nuovi account amministrativi. L'artefatto chiave su Windows è il registro HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser.

Su Linux, /var/log/auth.log contiene dettagli granulari:

sshd[12345]: Accepted publickey for DOMAIN\admin from 10.10.10.10

La correlazione temporale con modifiche ai file di configurazione (~/.ssh/authorized_keys, /etc/sudoers) rivela tecniche di persistenza.

APT29 durante SolarWinds Compromise utilizzava account di dominio per muoversi lateralmente lasciando tracce minime. L'analisi del Kerberos ticket cache su sistemi Linux (/tmp/krb5cc_*) rivela la sequenza di sistemi acceduti.

Per ESXi, il file /var/log/hostd.log documenta ogni operazione eseguita con credenziali di dominio. Pattern di accesso notturno o durante weekend spesso indicano attività malevola.

Memory forensics con Volatility permette recovery di credenziali ancora in memoria:

python vol.py -f memory.dmp --profile=Win10x64 mimikatz

La costruzione della timeline completa richiede integrazione di:

• Authentication logs
• Process creation events
• Network connections
• File system modifications

Questo approccio multi-sorgente garantisce visibilità completa sul movimento dell'attaccante attraverso l'infrastruttura.

Naikon (APT30 correlato) rappresenta il caso studio perfetto per l'uso strategico di credenziali di dominio. Attivo dal 2010, questo gruppo PLA focalizza su organizzazioni governative del Sud-Est asiatico, utilizzando credenziali amministrative per movimento laterale prolungato.

APT3, attribuito al Ministry of State Security cinese, dimostra evoluzione tattica: dal 2015 ha shiftato da target US a organizzazioni politiche di Hong Kong, mantenendo l'uso di credenziali valide come tecnica primaria. Il loro approccio "low and slow" sfrutta account dormienti per evitare detection.

Wizard Spider, criminali russi dietro TrickBot e Ryuk, monetizza account Domain Admin per ransomware deployment. La loro timeline operativa è prevedibile: compromissione iniziale, privilege escalation entro 48 ore, ransomware deployment in 3-7 giorni.

Chimera mostra specializzazione settoriale nell'industria dei semiconduttori taiwanese. Utilizzano account compromessi per accesso iniziale, indicando possibile insider threat o campagne di spear phishing mirate a dipendenti specifici.

Pattern geografici emergono chiaramente:

• Gruppi cinesi (Volt Typhoon, APT5) prediligono accesso long-term per espionage
• Gruppi russi (Sandworm, Indrik Spider) alternano tra distruzione e profitto
• Gruppi iraniani (OilRig, Magic Hound) focalizzano su settore energetico

Operation Ghost di APT29 dimostra l'evoluzione verso tecniche "living off the land". Utilizzano esclusivamente strumenti nativi Windows con credenziali valide, rendendo detection estremamente difficile.

Tool overlap significativo emerge tra gruppi:

• Mimikatz (universale)
• Cobalt Strike (APT29, Wizard Spider)
• Custom backdoor con domain authentication (APT5, Chimera)

Le campagne Cutting Edge e Operation MidnightEclipse del 2024 mostrano trend verso exploitation di appliance VPN per ottenere credenziali di dominio in massa. Previsione: incremento di attacchi a infrastrutture di autenticazione centralizzata.

Framework MITRE ATT&CK T1078.002 - Valid Accounts: Domain Accounts. Riferimenti alle campagne Operation Ghost (APT29), SolarWinds Compromise, Night Dragon, Operation CuckooBees, Operation Wocao, Cutting Edge, Operation MidnightEclipse. Detection patterns basati su analytics MITRE AN0590-AN0593. Mitigazioni M1017, M1018, M1026, M1027, M1032 per controlli efficaci.