Payload Criptati dall'Ambiente: Environmental Keying (T1480.001)

Il cuore dell'environmental keying è concettualmente semplice: raccogliere un valore unico del target, derivarne una chiave, usarla per decrittare un payload. La complessità sta nel rendere la catena robusta abbastanza da resistere all'analisi statica e dinamica. In un laboratorio red team, puoi replicare l'intero flusso con strumenti nativi del sistema operativo.

Fase 1 — Raccolta del valore ambientale. Su Windows, il volume serial number è uno dei valori più utilizzati in-the-wild (lo usano PUBLOAD, PowerPunch e Ninja). Puoi recuperarlo con:

vol C:

oppure via WMI per un uso programmatico:

wmic logicaldisk get volumeserialnumber

Su PowerShell, per ottenere hostname, serial e username in un colpo solo — come fa PUBLOAD che combina più valori:

$env:COMPUTERNAME + (Get-WmiObject Win32_LogicalDisk -Filter "DeviceID='C:'").VolumeSerialNumber + $env:USERNAME

Fase 2 — Derivazione della chiave e cifratura. In un esercizio controllato, prepara il payload cifrato in anticipo. Con Python e la libreria cryptography (open source), puoi derivare una chiave AES dal serial number usando PBKDF2:

python3 -c "from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC; from cryptography.hazmat.primitives import hashes; import base64; kdf = PBKDF2HMAC(algorithm=hashes.SHA256(), length=32, salt=b'redteamlab', iterations=100000); key = base64.urlsafe_b64encode(kdf.derive(b'VOLUME_SERIAL_HERE')); print(key)"

Per replicare l'approccio DPAPI usato da APT41 e InvisiMole, su una macchina Windows puoi invocare direttamente le API di protezione dati. Con PowerShell:

[System.Security.Cryptography.ProtectedData]::Protect([System.Text.Encoding]::UTF8.GetBytes("payload_data"), $null, [System.Security.Cryptography.DataProtectionScope]::CurrentUser)

I dati cifrati con DPAPI sono decrittabili solo dall'utente e sulla macchina dove sono stati protetti — un meccanismo di environmental keying "gratuito" offerto dal sistema operativo stesso.

Fase 3 — Simulazione della guardrail linguistica. Pikabot verifica la lingua del sistema e termina l'esecuzione per determinate localizzazioni (russo, ucraino, georgiano e altre). In PowerShell:

(Get-Culture).Name

Puoi integrare questo check nel tuo dropper di laboratorio come primo gate: se il locale non corrisponde a quello atteso, il processo termina senza toccare disco.

Su Linux, la catena equivalente parte da hostnamectl o dalla lettura di /etc/machine-id per ottenere un identificatore univoco del sistema, combinato con openssl enc per la cifratura simmetrica. Lo strumento Metasploit Framework (open source) supporta la generazione di payload con guardrail ambientali attraverso encoder personalizzati.

La detection dell'environmental keying non si basa su un singolo evento, ma sulla correlazione temporale di una catena comportamentale: discovery rapida di informazioni di sistema → operazione crittografica → esecuzione di codice. Il punto chiave della strategia di rilevamento (DET0474) è proprio questa sequenza, ed è su di essa che devi costruire le tue regole.

Su Windows, il primo anello della catena è la raffica di query di discovery. Configura Sysmon (open source, Sysinternals) per catturare gli eventi EventCode 1 (Process Create) relativi a wmic, systeminfo, hostname, ipconfig, net share e nltest. La regola di correlazione deve cercare almeno 3-4 comandi distinti di discovery entro una finestra di 300 secondi (parametro tuning DiscoveryTimeWindow), originati dallo stesso processo padre o dalla stessa sessione utente. Questo distingue l'attività da un singolo comando amministrativo.

Il secondo anello è più sottile: le operazioni crittografiche. Monitora gli eventi EventCode 11 (FileCreate) di Sysmon per la creazione di file temporanei subito dopo la sequenza di discovery, e gli eventi EventCode 7 (Image Loaded) per il caricamento di librerie crittografiche come bcrypt.dll o ncrypt.dll da processi non standard. Se usi i log PowerShell con Script Block Logging abilitato (EventCode 4104), cerca invocazioni di ProtectedData, AesCryptoServiceProvider o PBKDF2.

Per il canale WMI, abilita il log operazionale WinEventLog:WMI e correlalo con il log Security. Le query WMI complesse — quelle che interrogano Win32_LogicalDisk, Win32_OperatingSystem e Win32_NetworkAdapterConfiguration in rapida successione — meritano un punteggio di rischio elevato nel parametro WMIQueryComplexityThreshold.

Su Linux (AN1306), il focus si sposta su auditd. Configura regole audit per le syscall execve relative a uname, hostname, id, ip addr e cat /etc/machine-id. La correlazione segue lo stesso principio: una raffica di comandi di enumerazione seguita dall'uso di librerie come libcrypto o invocazioni di openssl.

I falsi positivi principali arrivano da script di inventory e configuration management (Ansible, SCCM, Puppet). Mantieni aggiornata la lista LegitimateAdminAccounts e applica un moltiplicatore di rischio per attività al di fuori dell'orario lavorativo (BusinessHoursBaseline). Un'attività di discovery identica eseguita alle 3 di notte da un account non privilegiato ha un profilo di rischio radicalmente diverso dalla stessa sequenza lanciata da SCCM alle 10 del mattino.

L'analisi forense di un payload environmentally keyed presenta una difficoltà peculiare: il campione che trovi su disco è cifrato e, senza i valori ambientali corretti, non puoi decrittarlo su una macchina diversa da quella compromessa. Questo rende l'acquisizione forense del sistema originale — e la sua analisi in-situ — particolarmente critica.

Parti dalla ricostruzione dei valori ambientali usati come chiave. Su un'immagine disco Windows, il volume serial number è memorizzato nel boot sector della partizione (offset 0x43 per NTFS). Puoi estrarlo con fsstat della suite Sleuth Kit (open source) applicato all'immagine raw. L'hostname risiede nel registry hive SYSTEM sotto ControlSet001\Control\ComputerName\ComputerName, estraibile con RegRipper (open source). Il dominio AD è nel hive SYSTEM sotto ControlSet001\Services\Tcpip\Parameters\Domain.

Per malware che usano DPAPI — come nel caso di APT41 e InvisiMole — i master key DPAPI si trovano sotto %APPDATA%\Microsoft\Protect\{SID}\. Senza la password dell'utente o il backup della domain key, la decrittazione è estremamente complessa. Lo strumento Mimikatz (open source) e la suite Impacket (open source) includono moduli per l'estrazione delle DPAPI master key quando si dispone delle credenziali.

Ninja scrive il payload finale cifrato nel Registry sotto HKLM\SOFTWARE\Classes\Interface\, usando una chiave derivata dal serial number del disco. Nel tuo esame forense, esporta questa chiave di registro dal hive SOFTWARE ed esegui la decrittazione offline combinando il serial estratto dal boot sector con l'algoritmo documentato.

Per la timeline, gli artefatti chiave da correlare sono:

• Prefetch: esecuzione di wmic.exe, systeminfo.exe o hostname.exe in rapida sequenza — visibili nei file .pf sotto C:\Windows\Prefetch
• Shimcache / Amcache: evidenza dell'esecuzione del binary dropper, con timestamp di primo avvio
• Event Log Security: eventi EventCode 4688 (Process Creation) che documentano la sequenza di comandi discovery
• USN Journal: modifiche al filesystem immediatamente successive alla sequenza di discovery, potenzialmente indicative della scrittura del payload decrittato

Su Linux, verifica i log auth.log e la cronologia bash_history per sequenze di comandi di enumerazione. Il file /etc/machine-id e il contenuto di /sys/class/dmi/id/product_serial sono i valori ambientali più probabili. Usa fls e mactime di Sleuth Kit per costruire la timeline filesystem e identificare file creati subito dopo la fase di discovery.

L'environmental keying non è una tecnica di opportunità: richiede conoscenza preventiva del target e un investimento nello sviluppo del payload. Questo la rende un indicatore affidabile di operazioni mirate e sofisticate.

Equation (G0020) è il gruppo che meglio incarna la filosofia dell'environmental keying come dottrina operativa. L'utilizzo documentato di questa tecnica nella delivery dei payload si inserisce in un arsenale noto per livelli estremi di complessità crittografica e persistenza. Quando individui un campione con environmental keying sofisticato — chiavi derivate da combinazioni di valori hardware e software, algoritmi di derivazione robusti — il profilo di minaccia punta verso attori con risorse significative.

APT41 (G0096) mostra un approccio duale interessante: utilizza sia DPAPI (delegando la derivazione della chiave al sistema operativo stesso) sia chiavi RC5 derivate dal volume serial number. Questa versatilità suggerisce un team di sviluppo malware maturo, capace di adattare l'implementazione al contesto operativo. La scelta di DPAPI è particolarmente rilevante perché sfrutta un meccanismo legittimo di Windows, rendendo l'artefatto forense quasi indistinguibile da un'applicazione normale che protegge i propri dati.

Il panorama software rivela pattern geografici e funzionali. TONESHELL e PUBLOAD condividono l'uso di valori multipli combinati (hostname, serial, username) per la derivazione della chiave, suggerendo una filosofia di "chiave composita" che rende la riproduzione ancora più difficile. ROKRAT si distingue per la dipendenza da un hostname specifico — un approccio più semplice ma efficace per operazioni altamente mirate.

La guardrail linguistica di Pikabot — che termina l'esecuzione su sistemi con localizzazione russa, ucraina, bielorussa, georgiana, kazaka, uzbeka, tagika o slovena — è un pattern classico degli ecosistemi cybercriminali dell'Europa orientale e rappresenta un indicatore di attribuzione geografica, non di targeting specifico.

Winnti for Windows adotta un approccio diverso: un parametro da riga di comando funge da chiave di decrittazione. Questo implica che l'operatore deve conoscere il valore corretto per attivare il payload — una forma di compartimentazione operativa che protegge il malware anche in caso di compromissione della catena di distribuzione.

Per il threat modeling, l'environmental keying è un moltiplicatore di difficoltà per la risposta: se un campione arriva da una segnalazione di terzi o da una piattaforma di sharing, senza i valori ambientali del target originale non può essere analizzato. Nelle tue procedure di intelligence sharing, documenta sempre i valori ambientali noti accanto agli hash dei campioni.

Framework MITRE ATT&CK v16 — Tecnica T1480.001 (Environmental Keying), Tattica TA0005 (Defense Evasion), Mitigazione M1055, Detection DET0474 con analytics AN1305/AN1306/AN1307. Gruppi: G0020, G0096. Software: S1239, S0240, S1228, S1100, S0260, S1145, S0685, S0141. Integrato con conoscenza professionale per tool e procedure operative.