Raccolta Dati dal Sistema Locale: Data from Local System (T1005)

L'obiettivo in un esercizio red team è dimostrare che, una volta ottenuto l'accesso, la raccolta di dati sensibili è banale e veloce. La simulazione deve coprire almeno tre scenari: enumerazione massiva per estensione, furto mirato di credenziali e raccolta da ambienti virtualizzati.

Enumerazione di documenti su Windows. Lo scenario classico prevede l'uso di PowerShell per scandagliare i profili utente cercando file con estensioni sensibili. Il comando ricorsivo è diretto:

Get-ChildItem -Path C:\Users\ -Recurse -Include .doc,.docx,.xls,.xlsx,.pdf,.ppt,.pptx -ErrorAction SilentlyContinue | Select-Object FullName,Length,LastWriteTime*

Questo produce un inventario completo con dimensioni e data di modifica, esattamente come documentato per malware quali BADNEWS e yty che cercano le medesime estensioni. Per uno staging più realistico, puoi usare Forfiles (tool nativo Windows, già presente nel dataset) per copiare i file in una directory temporanea:

*forfiles /P C:\Users /S /M .pdf /C "cmd /c copy @path C:\Windows\Temp\staging"

Raccolta credenziali e artefatti browser. Diversi malware come QakBot sfruttano esentutl.exe (open source, nativo Windows) per estrarre dati dai database ESE di Internet Explorer e Edge. In laboratorio puoi replicare così:

esentutl.exe /y "C:\Users%USERNAME%\AppData\Local\Microsoft\Edge\User Data\Default\History" /d C:\Windows\Temp\edge_history.dat

Per i cookie e le credenziali Chrome/Edge, DarkGate e RedLine Stealer puntano ai file SQLite sotto AppData\Local. Con Cobalt Strike (a pagamento) la raccolta diventa un semplice download dal beacon, mentre Brute Ratel C4 (a pagamento) offre funzionalità analoghe di upload dal sistema compromesso.

Ambiente Linux e SSH. Su sistemi Linux, lo scenario che replica il comportamento di Troll Stealer prevede la raccolta dalla directory .ssh e da configurazioni applicative:

find /home -name "id_rsa" -o -name "known_hosts" -o -name ".conf" 2>/dev/null | tar czf /tmp/.cache_update.tar.gz -T -*

Per i log di sicurezza, Aquatic Panda ha usato wevtutil per esportare eventi Windows in formato EVTX — replicabile con:

wevtutil epl Security C:\Windows\Temp\sec.evtx

Ambiente ESXi. La raccolta di file VMDK e configurazioni è simulabile via SSH con vim-cmd vmsvc/getallvms per elencare le VM e successivamente cp o scp per i file dal datastore. In un esercizio red team, dimostra che un attaccante con accesso root all'hypervisor può estrarre interi dischi virtuali in pochi comandi.

Per orchestrare il tutto, PowerSploit (open source) contiene moduli di esfiltrazione specifici, mentre Koadic (open source) offre raccolta dati tramite COM objects senza toccare disco.

La sfida nel rilevare la raccolta dati locale è che le operazioni coinvolte — leggere file, copiare documenti, interrogare database — sono identiche alle attività quotidiane degli utenti. La chiave è il contesto comportamentale: non il singolo evento, ma la combinazione di volumi anomali, processi inusuali e pattern temporali sospetti.

Log source critici. La detection analytic DET0380 indica chiaramente le fonti da attivare. Su Windows, servono WinEventLog:Security e WinEventLog:Sysmon: Sysmon (open source, Microsoft Sysinternals) con EventCode 11 (FileCreate) e EventCode 15 (FileCreateStreamHash) cattura la creazione di file staging, mentre EventCode 1 (ProcessCreate) traccia le catene processo padre-figlio sospette. Su Linux, auditd con regole sui syscall open, openat e read applicati a directory sensibili come /home, /etc/ssh e /var/lib fornisce la copertura necessaria.

Alert comportamentali efficaci. Il primo indicatore ad alto valore è la scansione ricorsiva per estensione: quando PowerShell o cmd.exe generano decine di operazioni FileRead su .doc, .pdf, .xls in finestre temporali strette (sotto i 60 secondi), il pattern è significativo. Il parametro di tuning TargetFilePathRegex consente di focalizzare l'alert sulle estensioni a rischio senza annegare nei falsi positivi.

Il secondo indicatore riguarda le catene di processo anomale. Un processo powershell.exe figlio di wmiprvse.exe che accede a file utente è molto diverso da un utente che apre Excel. Il filtro ParentProcessFilter va configurato per segnalare alberi di processi dove script interpreter o tool come forfiles.exe ed esentutl.exe sono invocati da processi non standard.

Su macOS, il Unified Log (macos:unifiedlog) combinato con fs:fsusage può rivelare script bash o AppleScript che enumerano il portachiavi utente o la directory Documenti. Il tuning UserContext esclude i job schedulati noti e gli account admin autorizzati.

Dispositivi di rete e ESXi. Per i network device, il monitoraggio della CLI (analytic AN1073) deve intercettare comandi come show running-config o copy flash seguiti da trasferimenti TFTP/SCP. Il parametro AuthenticatedUserList riduce i falsi positivi filtrando gli amministratori censiti. Su ESXi (AN1074), i log vmkernel e hostd vanno monitorati per accessi a file .vmdk e .vmx da sessioni interattive — il tuning InteractiveShellUsage distingue tra automazione legittima e accesso manuale sospetto.

Gestione falsi positivi. La mitigazione Data Loss Prevention (M1057) è l'unico controllo preventivo ufficiale: una soluzione DLP endpoint-based può bloccare la copia massiva di file classificati come sensibili verso directory non autorizzate. Integrare DLP con gli alert SIEM crea un doppio livello: il SIEM segnala il comportamento anomalo, il DLP blocca l'azione concreta.

Ricostruire la raccolta dati dal sistema locale richiede incrociare artefatti di accesso ai file, tracce di staging e indicatori di compressione o copia. L'analista forense deve pensare alla sequenza: prima l'enumerazione, poi la copia in una directory temporanea, infine la preparazione per l'esfiltrazione.

Artefatti Windows. Il punto di partenza sono i file Prefetch (C:\Windows\Prefetch): l'esecuzione di forfiles.exe, esentutl.exe, wevtutil.exe o powershell.exe lascia tracce con timestamp e lista delle DLL caricate. Se esentutl.exe compare nel Prefetch ma non risulta in nessun ticket di supporto IT, è un indicatore forte — QakBot e altri stealer lo usano per estrarre database ESE dei browser.

La MFT ($MFT) e il journal USN ($UsnJrnl) rivelano la creazione massiva di file in directory di staging. Un pattern tipico è la comparsa di decine di file con estensioni sensibili sotto C:\Windows\Temp, C:\Users\Public o directory con nomi generici — esattamente il comportamento di SharpDisco, che utilizza *C:\Users\Public\WinSrcNT* come punto di raccolta. L'analisi con tool come MFTECmd (open source, parte di Eric Zimmerman's Tools) permette di ordinare cronologicamente le creazioni di file e identificare burst di attività.

I ShellBags e i file LNK (link recenti) indicano quali directory sono state navigate manualmente o tramite Explorer, mentre i Jump Lists mostrano i file recenti aperti per applicazione. Se l'attaccante ha usato Explorer interattivamente, questi artefatti completano la timeline.

Per la raccolta di credenziali, verifica gli accessi al registro SAM e SECURITY: GALLIUM ha estratto hash dal SAM hive, e Sysmon EventCode 13 (RegistryValueSet) o gli eventi 4663 del Security Log con accesso alle chiavi di registro SAM documentano il tentativo.

Artefatti Linux. Su sistemi Linux, la ricostruzione parte dai log auditd — le regole sui syscall openat per directory come /home//.ssh*, /etc/shadow, /etc/passwd creano una catena verificabile. I timestamp atime dei file (se il filesystem non è montato con noatime) indicano quando ogni file è stato letto l'ultima volta. Il bash_history e le varianti per zsh e fish possono contenere i comandi find, tar, scp usati per la raccolta, anche se attaccanti sofisticati li cancellano — in quel caso, l'assenza stessa del file history diventa un artefatto.

Correlazione con le campagne. Nella campagna SolarWinds Compromise (C0024), APT29 ha estratto file da reti compromesse dopo un lungo periodo di persistenza: la timeline forense in casi simili mostra settimane di ricognizione interna prima della raccolta massiva. In Operation MidnightEclipse (C0048), il furto di cookie e login data ha lasciato tracce nei database SQLite dei browser e nei file temporanei di staging. In C0026, gli attori legati a Turla hanno raccolto documenti specifici, suggerendo l'uso di filtri per estensione che producono pattern riconoscibili nei log di accesso file.

La chiave forense è cercare la co-occorrenza temporale: enumerazione file → creazione directory staging → compressione (ZIP, RAR, TAR) → esfiltrazione, il tutto in una finestra che può variare da minuti a giorni.

Con 43 gruppi documentati, T1005 è una tecnica quasi universale — ma le modalità di raccolta variano enormemente e rivelano il profilo operativo di ciascun attore. L'analista CTI deve leggere il come raccolgono, non solo il cosa.

APT29 rappresenta il paradigma della raccolta paziente e chirurgica. Nella SolarWinds Compromise (C0024), il gruppo ha estratto file da reti governative e tecnologiche dopo mesi di persistenza silenziosa, utilizzando malware come SUNBURST e FoggyWeb per raccogliere dati di configurazione AD FS. Il pattern è chiaro: accesso supply chain → persistenza profonda → raccolta mirata → esfiltrazione lenta. Quando si osserva EnvyScout (raccolta materiale NTLM) in combinazione con FatDuke o PinchDuke (raccolta file predefiniti), si è quasi certamente di fronte all'ecosistema APT29.

Lazarus Group mostra un approccio duale, confermato dalla campagna Operation Dream Job (C0022): da un lato spionaggio industriale verso difesa e aerospazio, dall'altro tentativi di monetizzazione tramite BEC. La raccolta avviene con trojan e DLL malevole; il tool overlap con Dtrack, BLINDINGCAN e DRATzarus fornisce indicatori per la correlazione. Quando la raccolta include dati finanziari insieme a proprietà intellettuale, il profilo Lazarus emerge con forza.

APT41 incarna la minaccia ibrida stato-criminale. La campagna C0017 ha colpito almeno sei reti governative statunitensi estraendo PII, mentre Operation CuckooBees (C0012) ha puntato a proprietà intellettuale e codice sorgente in ambienti tecnologici e manifatturieri. APT41 sfrutta zero-day per l'accesso iniziale e tool come SysUpdate e Clambling per la raccolta, adattandosi rapidamente dopo le remediation.

Il cluster iraniano è particolarmente denso. Fox Kitten, Magic Hound, APT39, OilRig e CURIUM condividono l'area geografica di interesse e spesso si sovrappongono nei target. Magic Hound ha usato web shell per esfiltrare dump LSASS, OilRig si affida a PowerShell per upload, Fox Kitten cerca documenti sensibili locali. Tool condivisi come SideTwist, Milan, Shark e DanBot creano un ecosistema interconnesso che l'analista deve mappare come cluster piuttosto che come entità isolate.

Volt Typhoon merita attenzione speciale per l'approccio living-off-the-land: il furto di file da server sensibili e del database Active Directory, combinato con l'uso di Wevtutil per estrarre log eventi, avviene quasi interamente con tool nativi del sistema operativo. Questo rende la raccolta particolarmente difficile da distinguere dall'amministrazione legittima e rappresenta un trend in crescita — la campagna Cutting Edge (C0029) condivide la stessa filosofia LoTL applicata ai dispositivi VPN Ivanti.

Il pattern geografico mostra tre epicentri: Cina (APT1, APT3, APT41, Volt Typhoon, Threat Group-3390, GALLIUM, Aquatic Panda, menuPass), Iran (OilRig, Fox Kitten, Magic Hound, APT39, CURIUM, Agrius), e Russia/CSI (APT28, APT29, Turla, Sandworm Team, Gamaredon Group, Ember Bear). I gruppi finanziari come FIN6, FIN7 e FIN13 raccolgono dati POS e ATM, mentre LAPSUS$ e Wizard Spider puntano a credenziali e dati per estorsione e ransomware.

Framework MITRE ATT&CK: T1005 (Data from Local System), TA0009 (Collection). Campagne: C0048, C0002, C0014, C0015, C0022, C0024, C0017, C0006, C0029, C0001, C0004, C0012, C0058, C0026. Mitigazione: M1057 (Data Loss Prevention). Detection: DET0380 (AN1070–AN1074). Integrato con conoscenza professionale per tool e procedure operative.