Sfruttamento di Vulnerabilità per Scalata di Privilegi: Exploitation for Privilege Escalation (T1068)

L'obiettivo in laboratorio è riprodurre i due vettori principali: exploit kernel classico e BYOVD. Per entrambi serve un ambiente isolato — una VM Windows 10/11 non patchata e una VM Linux con kernel vulnerabile.

Scenario 1 — Exploit kernel Windows con framework

Il punto di partenza è enumerare le patch mancanti sul target. Windows Exploit Suggester – Next Generation (wesng, open source) confronta l'output di systeminfo con il database CVE:

systeminfo > sysinfo.txt

python wes.py sysinfo.txt --exploits-only

L'output evidenzia le CVE sfruttabili. Se il target è vulnerabile a una delle CVE storiche usate dagli APT nei dati — ad esempio CVE-2021-1732, sfruttata sia da BITTER che da MoustachedBouncer — si può cercare il PoC pubblico corrispondente. Cobalt Strike (a pagamento) integra moduli per exploit come MS14-058, mentre Empire (open source) offre moduli per MS16-032 e MS16-135. Anche PoshC2 (open source) include moduli per CVE-2016-9192 e CVE-2016-0099.

In un engagement, la catena tipica prevede: shell iniziale con privilegi utente → enumerazione patch → selezione exploit → esecuzione → verifica con whoami /priv che mostri privilegi SYSTEM.

Scenario 2 — BYOVD in laboratorio

Questo scenario replica il comportamento di Embargo (driver probmon.sys) o Remsec (driver Outpost Sandbox). Il flusso operativo è:

1. Identificare un driver firmato ma vulnerabile consultando il progetto LOLDrivers (open source), che cataloga centinaia di driver abusabili
2. Trasferire il driver .sys sulla VM target
3. Caricarlo con sc create o tramite un loader custom
4. Sfruttare la primitiva di lettura/scrittura kernel offerta dal driver per disabilitare le protezioni (DSE, PPL) o iniettare codice

Ad esempio, per caricare un driver vulnerabile:

sc create VulnDrv type= kernel binPath= C:\temp\driver_vuln.sys

sc start VulnDrv

Il progetto KDU – Kernel Driver Utility (open source) automatizza l'abuso di driver vulnerabili noti per ottenere lettura/scrittura arbitraria in kernel memory. È lo stesso principio usato da BlackByte 2.0 Ransomware con il driver RTCore64.sys (CVE-2019-16098).

Scenario 3 — Container escape su Linux

Per replicare scenari come quelli di Siloscape o Hildegard, si può allestire un container Docker su un kernel vulnerabile a CVE-2022-0847 (DirtyPipe). Lo strumento BOtB (open source) — lo stesso citato per Hildegard — automatizza la ricerca di primitive di escape da container, inclusa CVE-2019-5736 su runc.

La detection di un privilege escalation via exploit è complessa perché l'evento è spesso istantaneo e avviene in kernel space. La strategia vincente è correlare segnali deboli su tre assi: caricamento driver anomalo, transizione di privilegi improvvisa e comportamento post-exploit.

Log sources critici

Su Windows, Sysmon è indispensabile. L'EventCode 6 (Driver Loaded) cattura ogni caricamento di driver e include l'hash del file: è il sensore primario per BYOVD. Configura una blocklist di hash noti — il progetto LOLDrivers pubblica una lista aggiornata di hash di driver vulnerabili in formato compatibile con WDAC e con regole Sigma. Quando un driver il cui hash corrisponde alla lista viene caricato, l'alert deve essere ad alta priorità.

Il secondo pilastro è l'EventCode 4672 del Security log (Special privileges assigned to new logon): una transizione a SeDebugPrivilege o SeTcbPrivilege che non corrisponde a un account di servizio noto merita indagine. Correlalo temporalmente con l'EventCode 6 di Sysmon: se un driver sconosciuto viene caricato e, entro una finestra di 60 secondi, un processo figlio acquisisce privilegi speciali, hai un indicatore forte.

Su Linux, auditd è il fondamento. Monitora le syscall init_module e finit_module per rilevare il caricamento di moduli kernel non previsti. Aggiungi regole per l'accesso a /proc/kallsyms e /dev/kmem, artefatti consultati durante l'exploitation kernel. Una regola auditd efficace:

-a always,exit -F arch=b64 -S init_module -S finit_module -k kernel_module_load

Per i container, il runtime containerd e auditd lavorano in tandem. L'alert chiave è un processo che dal namespace del container accede a risorse dell'host — tipicamente il filesystem root dell'host montato o l'acquisizione della capability CAP_SYS_ADMIN non prevista dal security profile.

Gestione dei falsi positivi

Il tuning è cruciale. Sui driver, le installazioni legittime di software (antivirus, tool di virtualizzazione, periferiche) caricano driver firmati regolarmente. Costruisci una baseline dei driver autorizzati e usa una whitelist di hash. Per i binari SUID su Linux, ogni distribuzione ha un set differente: genera la baseline con find / -perm -4000 -type f e monitora le deviazioni.

Su macOS, l'Unified Log e l'Endpoint Security framework catturano il caricamento di kernel extension e l'abuso di entitlement. Correla l'esecuzione di binari SUID o iniezioni AppleScript con acquisizioni di privilegi elevati entro la stessa finestra temporale.

L'analisi forense di un privilege escalation via exploit si concentra su tre momenti: l'arrivo del payload, l'esecuzione dell'exploit e l'attività post-escalation. La sfida è che l'exploit stesso potrebbe durare millisecondi, ma lascia tracce prima e dopo.

Artefatti Windows — BYOVD e exploit kernel

Il primo punto di ancoraggio è il driver. Cerca nei percorsi tipici di staging — C:\Windows\Temp, %APPDATA%, %ProgramData% — file .sys non presenti nella baseline del sistema. Calcola l'hash SHA-256 e confrontalo con il catalogo LOLDrivers. Nei casi documentati, Embargo ha usato probmon.sys versione 3.0.0.4 con certificato revocato di "ITM System Co.,LTD.", mentre ZeroCleare ha sfruttato VBoxDrv per bypassare DSE e caricare il driver RawDisk non firmato.

L'hive di registro SYSTEM\CurrentControlSet\Services conserva la registrazione del driver come servizio. Cerca chiavi create in prossimità temporale del primo indicatore di compromissione, con ImagePath che punta a directory inconsuete. Il timestamp di creazione della chiave è un punto fermo della timeline.

I log Sysmon, se presenti, offrono l'EventCode 6 con il percorso completo del driver, l'hash e la firma. L'EventCode 1 (Process Create) con IntegrityLevel che passa da Medium a System in un processo figlio dello stesso albero è la conferma dell'avvenuta escalation.

Artefatti Linux — Kernel exploit e container escape

I log di auditd sono la fonte primaria. Filtra per le syscall init_module, finit_module e execve con euid=0 quando l'uid originale non era root. Il campo exe rivela il binario che ha innescato la transizione. Per exploit di tipo DirtyPipe, cerca scritture anomale su file appartenenti a root da processi non privilegiati — auditd con regole su open e write verso /etc/passwd o /etc/shadow con uid diverso da 0.

Per container escape, i log del runtime containerd registrano eventi di tipo TaskExec e TaskOOM. Cerca processi che dopo l'esecuzione nel namespace del container compaiono nel namespace dell'host — il PID del processo sarà visibile in /proc dell'host con un mount namespace diverso da quello del container. Hildegard usava BOtB per sfruttare CVE-2019-5736 su runc: l'artefatto chiave è la modifica del binario runc stesso sull'host.

Ricostruzione della timeline

La sequenza tipica da documentare è: (1) delivery del driver o exploit payload tramite Initial Access o tool transfer, (2) registrazione del driver come servizio o caricamento del modulo kernel, (3) esecuzione dell'exploit con transizione di privilegio, (4) attività post-exploit — creazione utenti, dump credenziali, movimento laterale. Correla ogni fase con i timestamp di filesystem (MFT per NTFS, inode change time per ext4), registro eventi e log applicativi.

La tecnica T1068 è trasversale: la usano gruppi di spionaggio statale, operatori ransomware e threat actor a motivazione finanziaria. Dall'analisi dei 22 gruppi censiti emergono pattern operativi distinti.

APT28 (Russia) presenta il catalogo CVE più ampio con cinque vulnerabilità sfruttate — CVE-2014-4076, CVE-2015-2387, CVE-2015-1701, CVE-2017-0263 e CVE-2022-38028 — tutte relative al kernel Windows o a componenti di sistema. L'arco temporale che va dal 2014 al 2022 indica una capacità continuativa di integrazione di exploit nel toolkit operativo, con preferenza per vulnerabilità nel sottosistema grafico di Windows (win32k). Condivide CVE-2015-1701 e CVE-2015-2387 con il malware JHUHUGIT, suggerendo un legame tool-gruppo consolidato.

UNC3886 (Cina) rappresenta un caso particolarmente sofisticato: lo sfruttamento della zero-day CVE-2023-20867 in VMware Tools per eseguire comandi privilegiati su guest VM — Windows, Linux e PhotonOS — evidenzia una specializzazione nell'attacco all'infrastruttura di virtualizzazione. Questo si allinea con BlackByte che ha sfruttato CVE-2024-37085 in VMware ESXi per authentication bypass. Il trend è chiaro: gli hypervisor sono diventati un target primario per la privilege escalation.

Volt Typhoon (Cina) e HAFNIUM (Cina) condividono l'approccio di sfruttare vulnerabilità non patchate in ambienti enterprise, ma con obiettivi diversi: Volt Typhoon per prepositioning su infrastrutture critiche, HAFNIUM per accesso a organizzazioni specifiche. Entrambi operano su target geograficamente concentrati e privilegiano lo sfruttamento di servizi esposti.

Sul fronte finanziario, FIN6 e FIN8 mostrano un approccio pragmatico. FIN6 ha usato CVE risalenti al 2010-2013, evidenziando che per il settore retail — il loro target storico — il patching è spesso in ritardo. Cobalt Group ha una filosofia simile, sfruttando exploit per elevazione di privilegi come parte di catene d'attacco orientate al furto di denaro.

La campagna Leviathan Australian Intrusions (C0049, aprile-settembre 2022) dimostra come la privilege escalation via exploit si inserisca in intrusioni prolungate: dopo l'accesso iniziale tramite servizi esposti, l'escalation abilitava il credential capture su larga scala. ShadowRay (C0045, settembre 2023-marzo 2024) rappresenta invece un trend emergente: lo sfruttamento di vulnerabilità in framework AI (CVE-2023-48022 nel framework Ray) per ottenere accesso root, primo caso documentato di AI workload sfruttato in the wild.

La tendenza BYOVD è in espansione, con Scattered Spider che ha sfruttato CVE-2015-2291 nel driver Intel iqvw64.sys, e i ransomware Embargo e BlackByte 2.0 che hanno adottato la tecnica come standard operativo. La convergenza tra gruppi APT tradizionali e operatori ransomware su questa tecnica suggerisce che i team di intelligence debbano monitorare attivamente le pubblicazioni di nuovi driver vulnerabili e correlare i certificati revocati con gli indicatori delle campagne in corso.

Framework MITRE ATT&CK: tecnica T1068, tattica TA0004. Campagne C0049 (Leviathan Australian Intrusions), C0045 (ShadowRay). Detection: Sysmon (EventCode 6, 1), Windows Security (EventCode 4672), auditd (syscall init_module/finit_module), containerd runtime, macOS Unified Log ed Endpoint Security. Integrato con conoscenza professionale per tool e procedure operative.