Furto di Password dal Browser: Credentials from Web Browsers (T1555.003)

Per testare la vulnerabilità dei browser alla compromissione delle credenziali, l'ethical hacker può replicare le tecniche utilizzate dai threat actor attraverso diversi approcci operativi.

Su sistemi Windows, l'estrazione delle credenziali di Chrome richiede prima l'identificazione del database SQLite contenente le password. Il comando PowerShell Get-ChildItem -Path "$env:LOCALAPPDATA\Google\Chrome\User Data\Default" -Filter "Login Data" localizza il file target. Una volta identificato, è possibile copiare il database in una posizione temporanea per evitare lock del file: Copy-Item "$env:LOCALAPPDATA\Google\Chrome\User Data\Default\Login Data" -Destination "$env:TEMP\LoginData.db".

L'estrazione vera e propria avviene eseguendo una query SQL sul database copiato. Utilizzando tool come SQLite3 o librerie Python, la query SELECT action_url, username_value, password_value FROM logins; recupera i dati crittografati. La decrittazione richiede l'utilizzo dell'API Windows CryptUnprotectData, implementabile attraverso script PowerShell o Python che invocano direttamente la funzione di sistema.

Per Firefox su Linux, il processo differisce leggermente. Le credenziali sono memorizzate in file JSON all'interno del profilo utente. Il comando find ~/.mozilla/firefox -name "logins.json" -o -name "key*.db" individua i file rilevanti. Tool come LaZagne automatizzano l'intero processo di estrazione per multipli browser, mentre strumenti più specifici come Browser64 o BrowserPasswordDump10 offrono funzionalità mirate.

Durante i test di penetrazione, è fondamentale documentare ogni accesso ai file di credenziali e limitare l'estrazione ai soli account di test autorizzati. L'utilizzo di macchine virtuali isolate per questi esperimenti riduce il rischio di esposizione accidentale di credenziali reali.

La detection efficace del furto di credenziali dai browser richiede un approccio multilivello che combini il monitoraggio degli accessi ai file con l'analisi comportamentale dei processi.

Il primo livello di detection si concentra sul monitoraggio degli accessi ai database delle credenziali. Su Windows, configurare alert per eventi di sicurezza (EventID 4663) che mostrano accessi ai path *\Google\Chrome\User Data\*\Login Data o *\Mozilla\Firefox\Profiles\*\logins.json da parte di processi diversi dai browser stessi. Questi accessi anomali rappresentano indicatori immediati di potenziale compromissione.

L'analisi delle chiamate API costituisce il secondo livello critico. Monitorare le invocazioni di CryptUnprotectData attraverso Sysmon EventID 10 permette di identificare processi che tentano di decrittare dati protetti. La correlazione temporale tra accesso ai file di credenziali e chiamate di decrittazione entro una finestra di 60 secondi riduce significativamente i falsi positivi.

Per sistemi Linux, l'implementazione di regole auditd che tracciano gli accessi ai path dei browser attraverso syscall open e read fornisce visibilità simile. La configurazione -w /home//.mozilla/firefox/ -p r -k browser_creds genera eventi per ogni lettura nella directory del profilo Firefox.

Un approccio avanzato prevede il monitoraggio dei processi che eseguono query SQL in memoria dopo aver letto i database dei browser. L'analisi della memoria dei processi attraverso tecniche di memory forensics può rivelare pattern di query SQL caratteristici del credential dumping, anche quando i tool utilizzano tecniche di offuscamento.

La gestione dei falsi positivi richiede la creazione di whitelist per processi legittimi come aggiornamenti del browser, software di backup e tool di gestione password aziendali. L'implementazione di baseline comportamentali per utente riduce ulteriormente il rumore, permettendo di identificare deviazioni significative nei pattern di accesso.

L'analisi forense del furto di credenziali dai browser richiede la ricostruzione dettagliata delle attività attraverso molteplici artefatti che documentano l'accesso e l'esfiltrazione dei dati sensibili.

Gli artefatti primari includono i timestamp di accesso ai file dei database delle credenziali. Su Windows, l'analisi del $MFT (Master File Table) rivela non solo quando i file Login Data o logins.json sono stati accessi, ma anche se sono stati copiati in altre location. L'esame dei VSS (Volume Shadow Copy) può recuperare versioni precedenti dei database, permettendo di identificare esattamente quali credenziali erano presenti al momento del furto.

I log di prefetch di Windows documentano l'esecuzione di tool di credential dumping, conservando informazioni su quante volte sono stati eseguiti e da quali path. File come LAZAGNE.EXE-[HASH].pf o pattern simili per altri tool noti forniscono timeline precise delle attività di esfiltrazione. L'analisi della memoria volatile, quando disponibile, può rivelare processi che hanno mappato in memoria i database dei browser o eseguito query SQL.

Per correlazione temporale, l'investigatore deve esaminare i Windows Event Log per identificare l'esecuzione di processi sospetti (EventID 4688) in concomitanza con accessi ai file delle credenziali. La presenza di tool di compressione o trasferimento dati eseguiti subito dopo l'accesso ai database suggerisce tentativi di esfiltrazione.

Su sistemi Linux, l'analisi dei file di history della shell (.bash_history, .zsh_history) può rivelare comandi utilizzati per localizzare e accedere ai profili dei browser. I log di auditd, se configurati, forniscono una registrazione dettagliata di tutti gli accessi ai file sensibili con timestamp precisi.

La ricostruzione della timeline deve considerare anche artefatti di rete che documentano il trasferimento delle credenziali rubate verso sistemi esterni, completando il quadro dell'intera catena di attacco dalla compromissione iniziale all'esfiltrazione finale.

L'analisi dei pattern di utilizzo del credential theft da browser rivela differenze significative nelle tattiche operative dei principali gruppi APT, permettendo l'attribuzione e la predizione di mosse successive.

Sandworm Team (APT34) utilizza il tool proprietario CredRaptor per il harvesting sistematico delle credenziali dai browser. Il gruppo russo GRU tende a combinare questa tecnica con attacchi distruttivi su larga scala, come dimostrato nelle operazioni NotPetya e Olympic Destroyer. La loro metodologia prevede l'utilizzo delle credenziali rubate per movimenti laterali rapidi prima del deployment di wiper.

Kimsuky (APT43), attribuito alla Corea del Nord, mostra una predilezione per l'utilizzo di estensioni browser malevole per il furto continuativo di credenziali. Il gruppo ha sviluppato capacità specifiche per Chrome e utilizza tool come WebBrowserPassView di Nirsoft. Le loro campagne mostrano pattern di targeting focalizzati su think tank e ricercatori di politica nucleare, utilizzando le credenziali per accedere a email e documenti sensibili.

MuddyWater, subordinato del MOIS iraniano, implementa Browser64 nelle sue operazioni, spesso in combinazione con backdoor PowerShell-based. Il gruppo mostra una preferenza per il targeting di organizzazioni governative e del settore energetico in Medio Oriente, utilizzando le credenziali rubate per mantenere persistenza a lungo termine nelle reti compromesse.

APT41, con origini cinesi, dimostra l'uso più sofisticato attraverso BrowserGhost, un tool custom che bypassa meccanismi di protezione avanzati. Il gruppo alterna operazioni di spionaggio statale con attività criminali financially-motivated, pattern evidente nell'uso delle credenziali bancarie rubate.

L'evoluzione delle tecniche mostra un trend verso l'automazione e l'integrazione con framework modulari. I gruppi APT stanno sviluppando capacità per aggirare i meccanismi di protezione basati su Windows Hello e biometria, suggerendo che future campagne includeranno componenti specifici per questi sistemi.

Framework MITRE ATT&CK - Technique T1555.003. Riferimenti alle campagne APT documentate: Operation Olympic Destroyer (Sandworm), Operation STOLEN PENCIL (Kimsuky), MOIS operations (MuddyWater). Tool analysis: LaZagne framework, CredRaptor capabilities, BrowserGhost technical specifications.