Acquisizione di Domini Malevoli: Domains (T1583.001)

Simulare questa tecnica in laboratorio richiede di riprodurre il flusso completo: dall'enumerazione dei domini simili alla registrazione effettiva, fino alla configurazione dell'infrastruttura C2.

Il primo passo è generare permutazioni del dominio target per identificare quelli ancora disponibili. Lo strumento dnstwist (open source) è il riferimento per questa operazione. Lanciando:

dnstwist --registered -f csv example.com

si ottiene una lista di varianti — typosquatting, omoglifi, bit-flipping, inserimenti e trasposizioni — con indicazione di quali sono già registrate. L'output CSV permette di alimentare direttamente il report dell'assessment. Per espandere l'analisi agli IDN homograph, il flag --idn genera permutazioni con caratteri internazionalizzati cirillici, greci e altri set che producono glifi visivamente identici ai caratteri latini.

Una volta identificate le varianti disponibili, il red teamer può registrare il dominio scelto tramite API dei registrar. Per ambienti cloud, la simulazione può replicare ciò che fanno realmente gli avversari in ambienti AWS compromessi: utilizzare il servizio Route53 per registrare domini e creare hosted zone che puntano a infrastruttura controllata dall'attaccante.

La fase successiva è rendere il dominio operativo. Con Caddy (open source) o nginx si configura un reverse proxy con certificato TLS automatico tramite Let's Encrypt, replicando l'aspetto di un portale di login legittimo. Per il canale C2 vero e proprio, framework come Sliver (open source) o Cobalt Strike (a pagamento) supportano listener HTTPS su dominio custom. La configurazione di un listener Sliver su dominio dedicato si avvia con:

sliver > https --domain phishing-domain.com --lport 443

Per la componente di credential harvesting, Gophish (open source) consente di orchestrare campagne di phishing realistiche associando il dominio registrato a template di login clonati. L'integrazione con Evilginx (open source) aggiunge la capacità di intercettare sessioni con MFA bypass tramite proxy inverso trasparente.

Un aspetto spesso trascurato è l'OPSEC del dominio stesso. Gli avversari reali usano servizi WHOIS privacy, registrar multipli e informazioni di registrazione variabili. In un red team engagement è utile replicare questo pattern: registrare attraverso provider diversi, attivare la protezione WHOIS, e utilizzare DNS hosting separato dal registrar, così da testare la capacità del blue team di correlare infrastruttura frammentata.

Per la registrazione di domini lookalike difensivi — quelli che l'organizzazione registra preventivamente per bloccare il typosquatting — dnstwist stesso genera l'elenco delle varianti prioritarie da presidiare.

La detection diretta della registrazione di un dominio malevolo avviene fuori dal perimetro aziendale: non esiste un log interno che catturi l'azione dell'avversario nel momento in cui acquista un dominio. L'intera strategia di rilevamento si sposta quindi su due assi: il monitoraggio proattivo esterno e la detection al momento del contatto con l'infrastruttura aziendale.

Sul fronte esterno, servizi di monitoraggio domini come DomainTools (a pagamento) e RiskIQ/Microsoft Defender Threat Intelligence (a pagamento) offrono feed di domini appena registrati, permettendo di configurare alert su pattern che richiamano il nome dell'organizzazione. L'analisi dei Certificate Transparency logs tramite il servizio crt.sh (gratuito) è un canale complementare prezioso: ogni certificato TLS emesso per un dominio lookalike viene registrato pubblicamente, e query periodiche sul proprio brand restituiscono registrazioni sospette spesso prima che il dominio venga utilizzato in campagne attive.

Sul fronte interno, il punto di osservazione principale è il DNS resolver aziendale. Ogni query verso un dominio appena registrato (età inferiore a 30 giorni) è un indicatore debole ma utile se correlato con altri segnali. I log DNS — provenienti da soluzioni come Cisco Umbrella (a pagamento), Infoblox (a pagamento) o un resolver locale con logging abilitato — vanno arricchiti con feed di Newly Registered Domains (NRD) e incrociati con la telemetria proxy e firewall.

Le regole SIEM più efficaci per questa tecnica combinano più condizioni:

• Query DNS verso domini con età < 14 giorni e successiva connessione HTTPS
• Dominio risolvente in AS noto per hosting bulletproof
• Certificato TLS emesso da Let's Encrypt su dominio con entropia alta nel nome

I falsi positivi sono il problema principale. Startup, servizi SaaS emergenti e campagne marketing generano costantemente domini giovani con pattern anomali. La mitigazione dei falsi positivi passa per allowlist dinamiche alimentate da CTI e per la correlazione con il contesto utente: un dominio giovane visitato da un solo endpoint nel segmento finance ha un peso diverso da uno raggiunto da decine di utenti dopo una campagna email interna nota.

La configurazione SPF, DKIM e DMARC in modalità reject protegge il brand dall'essere spoofato via email, ma non impedisce all'avversario di registrare domini simili. Strumenti come SpiderFoot (open source) permettono di automatizzare il monitoraggio OSINT su domini associati al proprio brand, integrandosi con il workflow SOC.

L'analisi forense su questa tecnica si svolge quasi interamente su fonti esterne all'endpoint, perché l'atto di registrazione avviene fuori dal perimetro della vittima. Gli artefatti significativi emergono quando il dominio acquisito entra in contatto con l'infrastruttura compromessa — e qui la timeline si costruisce incrociando dati di rete con tracce endpoint.

Il primo artefatto da recuperare è il record WHOIS storico del dominio sospetto. Servizi come DomainTools Iris (a pagamento) e WhoisXML API (freemium) conservano snapshot storici che rivelano date di registrazione, cambi di nameserver e informazioni del registrante — anche quando protette da privacy service. Confrontare la data di registrazione del dominio con la prima occorrenza nei log DNS aziendali stabilisce il delta temporale tra acquisizione dell'infrastruttura e inizio dell'operazione. Nella campagna C0026, ad esempio, gli attori hanno ri-registrato domini C2 scaduti precedentemente usati dal malware ANDROMEDA, sfruttando la fiducia residua nelle allowlist dei difensori — un pattern che il forensic analyst identifica proprio confrontando lo storico WHOIS con i record di dominio già noti.

La passive DNS è il secondo pilastro. Piattaforme come Farsight DNSDB (a pagamento) o il dataset Circl Passive DNS (gratuito) mostrano l'intera storia di risoluzione del dominio: quali IP ha puntato nel tempo, quando sono avvenuti i cambi, e quali altri domini condividono la stessa infrastruttura. Questa tecnica di pivot è particolarmente efficace quando l'avversario usa registrar o hosting ricorrenti, come documentato per TA2541 che utilizzava sistematicamente i registrar Netdorm e No-IP DDNS con hosting provider specifici come xTom GmbH.

Sull'endpoint, gli artefatti principali si trovano nella cache DNS del sistema operativo e nella cronologia browser. Su Windows, il comando:

Get-DnsClientCache | Where-Object {$_.Entry -like "dominiosospetto"}

recupera le entry ancora in cache, mentre il file di history dei browser Chromium-based (file History, database SQLite, tabella urls) conserva i timestamp di primo e ultimo accesso. I log di Sysmon, se configurati con l'EventCode 22 (DNS Query), registrano ogni risoluzione associata al processo che l'ha generata — un legame processo-dominio che nessun'altra fonte offre.

Per i domini legati a certificati TLS, i Certificate Transparency logs forniscono il timestamp esatto di emissione del certificato, spesso anteriore al primo utilizzo operativo. Interrogando crt.sh con il nome del dominio sospetto si ottiene la catena temporale completa delle emissioni.

Con 40 gruppi APT documentati, l'acquisizione di domini è la tecnica di Resource Development più trasversale nell'intero panorama threat. L'analisi dei pattern di registrazione e utilizzo rivela cluster operativi distinti che il CTI analyst può sfruttare per attribuzione e anticipazione.

APT28 (G0007) registra domini che imitano organizzazioni NATO, OSCE e risorse informative del Caucaso — un pattern geografico coerente con il targeting russo verso istituzioni di sicurezza occidentali e post-sovietiche. Il tema è costante: infrastruttura che replica siti istituzionali di sicurezza. Star Blizzard (G1033), altro attore legato al panorama russo, utilizza un approccio diverso con nomi di dominio basati su parole randomizzate che solo vagamente ricordano organizzazioni legittime, privilegiando il volume sulla precisione del mimetismo.

Il cluster iraniano mostra una sofisticazione crescente nel social engineering associato ai domini. APT42 (G1044) registra domini che si mascherano da testate giornalistiche e servizi di login, mentre Magic Hound (G0059) costruisce domini fraudolenti come "mail-newyorker.com" e strutture multi-livello del tipo "recover-session-service.site" che simulano flussi di recupero sessione. CURIUM (G1012) si distingue per l'uso di domini destinati a strategic website compromise e cattura credenziali, e Ferocious Kitten (G0137) completa il quadro con domini che imitano siti legittimi iraniani.

Sul fronte Asia-Pacifico, Lazarus Group (G0032) e Moonstone Sleet (G1036) rappresentano il cluster nordcoreano. Lazarus registra domini legati direttamente alle campagne in corso — nella campagna Operation Dream Job (C0022) ha registrato un dominio identico a quello di un'azienda compromessa per condurre operazioni BEC. Moonstone Sleet si distingue per la creazione di domini associati a fake company utilizzate come copertura per attività di phishing. Contagious Interview (G1052) espande il modello registrando domini sia per social engineering che per C2.

Il cluster cinese è il più numeroso. APT1 (G0006) ha registrato centinaia di domini, Mustang Panda (G0129) acquisisce domini C2 prima delle operazioni — nella campagna RedDelta Modified PlugX (C0047) ha ri-registrato domini scaduti — e Earth Lusca (G1006) crea domini lookalike per attacchi watering hole. Winnti Group (G0044) mimetizza i domini C2 sui siti dei propri target, e Threat Group-3390 (G0027) è stato coinvolto nella campagna SharePoint ToolShell Exploitation (C0058) con domini che spoofavano servizi Microsoft legittimi.

Sul piano software, Raspberry Robin (S1130) utilizza domini appena registrati composti da pochi caratteri per il C2, DarkGate (S1111) inserisce domini hardcoded che imitano CDN legittime come Akamai e AWS, e XLoader (S1207) replica i nomi di registrar e hosting provider come Hostinger e Namecheap. Questi pattern malware-specifici sono indicatori di attribuzione preziosi.

La campagna SolarWinds Compromise (C0024) dimostra il livello massimo di sofisticazione: APT29 ha acquisito domini C2 anche attraverso reseller, frammentando la catena di registrazione per ostacolare il tracciamento — un modello operativo che nella campagna Operation Ghost (C0023) includeva domini C2 crafted per apparire come domini legittimi esistenti.

Framework MITRE ATT&CK v16 — T1583.001 (Domains), TA0042 (Resource Development). Campagne: C0021, C0005, C0043, C0058, C0006, C0016, C0022, C0023, C0026, C0004, C0010, C0011, C0007, C0047, C0024. Mitigazione: M1056 (Pre-compromise). Tool di detection e simulazione: dnstwist, SpiderFoot, Gophish, Evilginx, Sliver, Sysmon, crt.sh, DomainTools, Farsight DNSDB. Integrato con conoscenza professionale per tool e procedure operative.