Exploitation for Credential Access: Exploitation for Credential Access (T1212)

L'obiettivo in laboratorio è dimostrare come una singola vulnerabilità nel sottosistema di autenticazione possa restituire credenziali utilizzabili per lateral movement. Il percorso classico parte da MS14-068 e si estende a scenari VMware e replay attack.

Forgiatura Kerberos con MS14-068. Il modulo ms14-068 di Impacket (open source) è il punto di partenza. Servono un account di dominio valido, il suo SID e un Domain Controller non patchato. Il comando:

goldenPac.py domain.local/user:password@dc01.domain.local

Questo script di Impacket sfrutta MS14-068 per forgiare un PAC e ottenere una shell con privilegi elevati sul Domain Controller. In alternativa, per generare solo il ticket forgiato senza tentare l'accesso diretto:

python ms14-068.py -u user@domain.local -p password -s S-1-5-21-...-1104 -d dc01.domain.local

Il ticket .ccache prodotto va iniettato nella sessione con:

export KRB5CCNAME=/path/to/ticket.ccache

A quel punto, tool come psexec.py o smbexec.py di Impacket accettano l'autenticazione Kerberos senza richiedere nuovamente la password.

Estrazione credenziali da vCenter (CVE-2022-22948). Per simulare lo scenario UNC3886, serve un laboratorio VMware vCenter. La vulnerabilità riguardava permessi eccessivamente permissivi sul file di configurazione del database PostgreSQL interno. In un esercizio controllato, si verifica l'accesso al file pg_hba.conf e si interroga il database con:

psql -h 127.0.0.1 -U vc -d VCDB -c "SELECT user_name, password FROM vpx_credentials;"

Le credenziali estratte sono cifrate con una chiave simmetrica presente nel file system di vCenter. Mimikatz (open source) o script Python personalizzati possono decifrare i blob una volta ottenuta la chiave.

Replay attack su protocolli di rete. Per dimostrare un replay attack su NTLM, Responder (open source) cattura l'hash durante un tentativo di autenticazione, mentre ntlmrelayx.py di Impacket lo rilancia verso un target diverso:

ntlmrelayx.py -t smb://192.168.1.50 -smb2support

In parallelo, Responder intercetta il traffico sulla rete di laboratorio. L'hash catturato viene automaticamente rilanciato dal relay verso il server target.

Per scenari cloud, strumenti come ROADtools (open source) permettono di analizzare token Azure AD e verificare configurazioni che consentirebbero il refresh non autorizzato di token scaduti. L'intera catena — exploit, cattura credenziale, riutilizzo — va documentata per dimostrare al cliente l'impatto reale della vulnerabilità.

Il detection su questa tecnica non si basa su un singolo evento, ma sulla correlazione multi-sorgente tra crash di servizi di autenticazione, accessi anomali alla memoria dei processi credenziali e ticket o token generati con caratteristiche incoerenti.

Windows: Kerberos e LSASS sotto osservazione. Le log source primarie sono WinEventLog:Security e WinEventLog:Sysmon. L'analitica AN0493 definisce tre pilastri di detection. Il primo riguarda i ticket Kerberos forgiati: l'EventCode 4769 (Kerberos Service Ticket) va correlato con l'EventCode 4768 (TGT Request) cercando incoerenze tra il campo ServiceName, l'account richiedente e il livello di privilegi nel PAC. Per MS14-068, un segnale classico è un TGT emesso per un account non privilegiato che immediatamente genera richieste di service ticket verso il Domain Controller.

Il secondo pilastro è l'accesso anomalo al processo LSASS. Sysmon EventCode 10 (ProcessAccess) con target lsass.exe e GrantedAccess che include 0x1010 o 0x1FFFFF è un forte indicatore. La soglia va tarata su account ad alto valore — il parametro di tuning MonitoredAccounts dovrebbe includere Domain Admins, Enterprise Admins e account di servizio critici.

Il terzo pilastro riguarda i replay: il parametro ReplayDetectionWindow definisce la finestra temporale entro cui due autenticazioni identiche (stesso account, stesso service ticket, stesso timestamp nel campo dell'authenticator) vengono correlate. Una finestra di 60 secondi è un buon punto di partenza per ridurre i falsi positivi senza perdere attacchi reali.

Linux: PAM e segfault come sentinelle. L'analitica AN0494 si appoggia a auditd:SYSCALL e connessioni di rete. Monitora i segfault nei daemon di autenticazione (sshd, gdm, moduli PAM) tramite i log del kernel: un crash di sshd seguito entro secondi da un login riuscito dallo stesso IP è un pattern critico. Il parametro FailureThreshold va calibrato — tipicamente 5 autenticazioni fallite in 120 secondi prima di generare un alert di tipo replay.

macOS: OpenDirectory e Keychain. L'analitica AN0495 sfrutta macos:unifiedlog cercando crash di opendirectoryd e accessi anomali alle API Keychain. Il parametro WatchedAPIs deve includere SecItemCopyMatching e SecKeychainFindGenericPassword.

Cloud: token anomali in Azure AD e Okta. L'analitica AN0496 è costruita su azure:signinlogs e m365:unified. Il parametro TokenAnomalyThreshold identifica creazioni di token che avvengono senza un corrispondente flusso di autenticazione interattiva. Alert su token rinnovati con lifetime superiore alla policy aziendale, o emessi da application registration non monitorate (MonitoredAppIntegrations), catturano gli scenari di exploit su infrastruttura cloud.

La gestione dei falsi positivi passa per whitelist di tool di gestione legittimi che accedono a LSASS (agenti EDR, software di backup credenziali) e per l'esclusione di flussi di rinnovo token automatici noti.

La ricostruzione forense di un exploitation for credential access si sviluppa su tre piani: l'evento di exploit, gli artefatti credenziali prodotti, e i movimenti laterali che ne derivano.

Windows: artefatti Kerberos e memoria. Il punto di partenza è il Security Event Log. Gli eventi 4768 e 4769 vanno esportati e analizzati cercando incoerenze nel campo TicketEncryptionType. MS14-068 produceva ticket con cifratura RC4 (tipo 0x17) anche quando la policy di dominio richiedeva AES256 — un artefatto che sopravvive nei log anche mesi dopo l'attacco. Lo strumento kekeo (open source) può essere usato in fase di analisi per comprendere la struttura dei ticket forgiati.

L'analisi della memoria volatile è cruciale. Un dump del processo LSASS tramite Volatility 3 (open source) con il plugin windows.lsadump permette di identificare credenziali iniettate che non corrispondono a sessioni di login legittime. La presenza di ticket Kerberos con PAC modificato nella cache di LSASS è un artefatto definitivo.

vol -f memory.dmp windows.cachedump

Il registro di sistema Windows conserva ulteriori tracce. La chiave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters mostra la configurazione Kerberos al momento dell'attacco: se AllowTgtSessionKey è abilitato e non dovrebbe esserlo, l'avversario potrebbe averlo modificato per facilitare l'esportazione dei ticket.

VMware vCenter: lo scenario UNC3886. Per ricostruire l'exploitation di CVE-2022-22948, l'analista deve acquisire i log di vCenter dal percorso /var/log/vmware/vpxd/ e il database PostgreSQL. La tabella vpx_credentials mostra gli account compromessi. I timestamp di accesso al file pg_hba.conf nel filesystem — recuperabili tramite analisi del journal ext4 — definiscono il momento dell'exploit. La correlazione con i log SSH di vCenter rivela la sessione dell'attaccante.

Campagna Leviathan Australian Intrusions (C0049). In questa campagna, attiva tra aprile e settembre 2022, Leviathan ha sfruttato appliance di rete vulnerabili come punto di ingresso, per poi procedere alla raccolta massiva di credenziali valide. L'analista che ricostruisce uno scenario simile deve cercare negli artefatti di rete — log dei dispositivi perimetrali — i segni dell'exploitation iniziale, e poi tracciare il riutilizzo delle credenziali esfiltrate nei log di autenticazione interni. L'esportazione di credenziali valide rappresentava l'obiettivo finale dell'intrusione: i log di accesso VPN e i record di autenticazione RADIUS/TACACS+ sono fonti primarie per ricostruire la timeline di esfiltrazione.

Linux: core dump e PAM. Su sistemi Linux compromessi, i core dump di daemon di autenticazione crashati (/var/crash/ o /var/lib/systemd/coredump/) contengono lo stato della memoria al momento dell'exploit — analizzabili con GDB. I log di auditd, filtrati per syscall execve e ptrace con target sui processi di autenticazione, completano la sequenza temporale.

L'exploitation per credential access è un'intersezione tra capacità offensive avanzate e targeting infrastrutturale preciso. I dati disponibili disegnano un panorama dove gruppi con risorse significative investono in vulnerabilità specifiche per sottosistemi di autenticazione.

UNC3886 (G1048) rappresenta il profilo più rilevante. Questo gruppo ha sfruttato CVE-2022-22948 in VMware vCenter per accedere al database PostgreSQL interno e ottenere credenziali cifrate. Il pattern è significativo: UNC3886 non cerca credenziali dove tutti le cercano (dump di LSASS, keylogging), ma punta a repository centralizzati di credenziali — i database interni dei sistemi di gestione infrastrutturale. Questo suggerisce una capacità di vulnerability research focalizzata su prodotti di virtualizzazione e management, con una comprensione profonda dell'architettura interna di vCenter. Per il threat intelligence officer, il takeaway è monitorare le advisory VMware con priorità massima quando il proprio ambiente include vCenter, ESXi e NSX.

La campagna Leviathan Australian Intrusions (C0049), condotta tra aprile e settembre 2022, dimostra un modello operativo diverso ma complementare. Leviathan ha condotto almeno due intrusioni a lungo termine contro organizzazioni australiane, con un modus operandi che partiva dall'exploitation di appliance di rete esposte e procedeva con cattura estensiva di credenziali e loro riutilizzo per privilege escalation e lateral movement. L'obiettivo finale era l'esfiltrazione di dati sensibili, incluse le credenziali stesse delle organizzazioni vittima. Il pattern chiave è la catena exploit → credential harvesting → lateral movement: la tecnica T1212 non è mai fine a sé stessa, ma alimenta le fasi successive.

Dal punto di vista del targeting geografico, la campagna C0049 indica un interesse specifico verso l'area Asia-Pacifico, coerente con il profilo storico di Leviathan. Il focus su appliance di rete come vettore iniziale suggerisce che il monitoraggio delle vulnerability disclosure per vendor come Fortinet, Citrix, Pulse Secure e F5 sia una priorità per le organizzazioni nel mirino di questo attore.

Un trend emergente riguarda lo spostamento verso ambienti cloud e identity provider. La descrizione della tecnica evidenzia exploit su infrastruttura cloud pubblica per la creazione non autorizzata di token di autenticazione — uno scenario che estende T1212 oltre il perimetro on-premises tradizionale. Per il threat intelligence officer, questo significa integrare il monitoraggio delle advisory relative a Azure AD, Okta e Google Workspace nel ciclo di intelligence, correlandole con gli indicatori di compromissione dei gruppi già tracciati.

La raccomandazione operativa è mantenere un vulnerability watch specifico per tre categorie: prodotti di virtualizzazione (VMware, Hyper-V), appliance di rete perimetrali, e identity provider cloud. L'overlap tra queste categorie e i target documentati dei gruppi attivi su T1212 è il migliore predittore di rischio.

Framework MITRE ATT&CK v16 — T1212, TA0006, G1048 (UNC3886), C0049 (Leviathan Australian Intrusions), M1050, M1051, M1013, M1019, M1048, DET0174 (AN0493–AN0496). Tool di detection: Sysmon, auditd, Volatility 3, Impacket, Responder, ROADtools. Integrato con conoscenza professionale per tool e procedure operative.