Furto di Credenziali dal Keychain macOS: Keychain (T1555.001)

Il Keychain di macOS è un bersaglio ideale durante un engagement red team su endpoint Apple: contiene credenziali di rete, certificati e token applicativi in un singolo database cifrato. La buona notizia per chi simula l'attacco è che macOS mette a disposizione un'utility nativa — security — che non richiede alcun payload aggiuntivo.

Approccio nativo con l'utility security

Il comando più diretto è il dump interattivo del Login Keychain. In un terminale con sessione utente attiva:

security dump-keychain -d ~/Library/Keychains/login.keychain-db

Il flag -d forza la decifratura di ogni elemento, ma macOS presenterà un prompt grafico per ciascuna voce chiedendo la password utente o l'autorizzazione. In un contesto red team dove si è già ottenuta la password dell'utente (ad esempio tramite keylogging o phishing), il prompt non rappresenta un ostacolo reale, ma genera rumore visivo sull'endpoint.

Per cercare una credenziale specifica senza scatenare decine di prompt, è più chirurgico usare:

security find-internet-password -s -w ~/Library/Keychains/login.keychain-db

Questo restituisce solo la password in chiaro per il servizio indicato, utile per estrarre credenziali mirate (ad esempio un portale VPN aziendale).

Post-exploitation con framework

Empire (open source) offre un modulo dedicato che esegue /usr/bin/security dump-keychain -d sull'agente macOS. Il vantaggio è l'automazione: il risultato viene incapsulato nella comunicazione C2 senza interazione manuale.

LaZagne (open source) è un estrattore multi-piattaforma di credenziali. Su macOS, il modulo Keychain tenta di leggere le voci salvate. Si lancia con:

python3 laZagne.py browsers -oJ

Il flag -oJ produce output JSON, comodo per l'analisi post-engagement.

Simulazione dell'approccio API-based

Diversi malware documentati — tra cui LightSpy e Green Lambert — non invocano l'utility security ma chiamano direttamente le Keychain Services API (SecItemCopyMatching, SecKeychainFindInternetPassword). Per simulare questo vettore in laboratorio, è possibile compilare un piccolo programma Swift o Objective-C che invochi le stesse API. Questo approccio bypassa i log legati all'esecuzione di /usr/bin/security e testa la capacità del SOC di rilevare accessi API diretti al Keychain.

Percorsi da verificare durante l'esercizio:

• ~/Library/Keychains/ — Login Keychain dell'utente corrente
• /Library/Keychains/ — System Keychain
• /Network/Library/Keychains/ — Keychain di rete (raro, ma presente in ambienti enterprise)

Ricorda di documentare ogni comando nel report, indicando se il prompt di autorizzazione è stato bypassato grazie a credenziali note o se l'attacco è stato bloccato dalla protezione TCC (Transparency, Consent and Control) di macOS.

Il rilevamento dell'accesso malevolo al Keychain su macOS si gioca su un equilibrio delicato: decine di applicazioni legittime — Safari, Mail, il sottosistema Wi-Fi — interrogano il Keychain ogni giorno. La chiave è distinguere chi chiede cosa e in quale contesto.

Log source primario: Unified Log di macOS

La detection documentata (DET0396) si basa sui macOS Unified Log, la fonte più ricca per osservare interazioni con il Keychain. Il sottosistema com.apple.securityd registra ogni operazione di unlock, lettura e dump. Per interrogarlo in tempo reale su un endpoint:

log stream --predicate 'subsystem == "com.apple.securityd"' --level debug

In un SIEM, i log Unified vanno inoltrati tramite un agent (ad esempio osquery, open source, oppure un EDR commerciale con supporto macOS) che filtri gli eventi del subsystem securityd.

Indicatori comportamentali da monitorare

Il segnale più forte è l'esecuzione dell'utility security con argomenti di dump. Un alert efficace cerca processi il cui command line contenga security dump-keychain oppure security find-internet-password combinati con il flag -d o -w. Il parent process è cruciale: se il padre è Terminal.app, bash, zsh o un interprete Python, l'attenzione sale. Se invece è un'applicazione firmata da Apple come Keychain Access.app, il rischio è minore.

Il secondo indicatore riguarda i tentativi multipli di unlock falliti. Il parametro di tuning AlertThreshold definisce dopo quanti unlock falliti scatta l'alert: un valore iniziale ragionevole è 5 tentativi in 60 secondi, da calibrare sull'ambiente.

Il terzo segnale è l'accesso diretto ai file database. Qualsiasi processo che legga login.keychain-db e non sia nell'allowlist delle applicazioni autorizzate (Safari, Mail, Finder, l'agent MDM aziendale) merita investigazione. Questo si monitora tramite file access auditing o un EDR con visibilità filesystem.

Gestione dei falsi positivi

La whitelist applicativa (AllowedApplications) è il tuning più importante. Partire con un elenco ristretto — le app Apple native, il client VPN aziendale, il password manager approvato — e ampliare solo su evidenza. Ogni aggiunta va documentata con ticket.

Il contesto del parent process (ParentProcessContext) elimina un'altra fetta di noise: security invocato da mdmclient durante un enrollment è legittimo; lo stesso binario invocato da osascript o da un processo senza firma non lo è.

Controllo preventivo

La mitigazione M1027 suggerisce di cambiare la password del Login Keychain rendendola diversa dalla password di login macOS. Questo semplice intervento, deployabile via MDM, costringe l'attaccante a conoscere una seconda password, alzando la complessità operativa dell'esfiltrazione.

L'analisi forense di un dump del Keychain macOS si sviluppa su due fronti: gli artefatti del sistema operativo che testimoniano l'accesso ai file database e i log che registrano le chiamate alle API di sicurezza. La buona notizia è che macOS è relativamente verboso su queste operazioni.

Artefatti filesystem

I file Keychain risiedono in percorsi prevedibili. Il primo controllo è verificare i metadati di accesso su:

• ~/Library/Keychains/login.keychain-db — Login Keychain
• /Library/Keychains/System.keychain — System Keychain

Su un'immagine disco APFS, i timestamp di ultimo accesso (atime) di questi file indicano quando sono stati letti. Attenzione: se il sistema è attivo, l'atime viene aggiornato frequentemente da processi legittimi, quindi va correlato con altri artefatti. Più significativo è trovare copie del file Keychain in directory anomale — la tecnica usata da Calisto, che copia i dati del Keychain in un file separato, e da Cuckoo Stealer, che cattura file dalla directory Keychain dell'utente. Cerca file .keychain-db o .keychain al di fuori dei percorsi standard, in directory temporanee, nella home o in cartelle create dal malware.

BeaverTail, collegato al gruppo Contagious Interview, raccoglie chiavi da /Library/Keychains/login.keychain, quindi un accesso anomalo al System-level Keychain path da parte di un processo utente è un segnale forte.

Unified Log come fonte forense

Il Unified Log di macOS sopravvive in /var/db/diagnostics/ e nei file .tracev3 associati. Con il tool nativo log è possibile estrarre eventi passati:

log show --predicate 'subsystem == "com.apple.securityd" AND eventMessage CONTAINS "unlock"' --start "2025-01-01" --end "2025-01-31"

Questa query filtra tutti gli eventi di unlock del Keychain nel periodo specificato. Per un'analisi più profonda, lo strumento macOS Unified Log Parser (open source, disponibile su GitHub con il nome UnifiedLogReader) consente di lavorare offline sull'immagine forense senza avviare il sistema compromesso.

Ricostruzione della catena d'attacco

La timeline tipica di un attacco al Keychain segue uno schema riconoscibile. L'attaccante ottiene l'esecuzione di codice sull'endpoint, poi invoca security dump-keychain -d oppure chiama direttamente le API come SecItemCopyMatching() (approccio di LightSpy, che formatta i risultati in JSON per l'esfiltrazione). Successivamente, i dati estratti vengono scritti su un file temporaneo o trasmessi direttamente al C2.

Cerca nei log di processo (tramite EDR o ps snapshot) evidenze di /usr/bin/security con argomenti di dump. Nei casi di accesso API-based, l'artefatto filesystem sarà assente: il segnale si sposta sul traffico di rete (un blob JSON in uscita contenente strutture compatibili con entry Keychain) e sugli eventi securityd nel Unified Log.

Infine, verifica il profilo TCC (Transparency, Consent and Control) in ~/Library/Application Support/com.apple.TCC/TCC.db: un'entry che conceda l'accesso al Keychain a un'applicazione non riconosciuta è un indicatore di compromissione o di social engineering riuscito.

L'ecosistema di threat actor che prende di mira il Keychain macOS rivela un panorama preciso: un gruppo APT documentato e una famiglia di malware interconnessa, affiancati da tool di post-exploitation ampiamente disponibili.

Contagious Interview — L'operazione nordcoreana contro sviluppatori

Contagious Interview (G1052) è l'unico gruppo APT con attribuzione diretta su questa tecnica. L'operazione utilizza varianti malware configurate per eseguire il dump delle credenziali dal Keychain macOS. Il collegamento con BeaverTail — che raccoglie chiavi direttamente dal path /Library/Keychains/login.keychain — suggerisce una catena d'attacco che parte dal social engineering (finti colloqui di lavoro per sviluppatori) e arriva all'esfiltrazione massiva di credenziali. Il target primario sono professionisti tech con accesso a repository di codice sorgente, wallet di criptovalute e credenziali cloud.

Il cluster malware: tre famiglie da monitorare

LightSpy rappresenta l'approccio più sofisticato: anziché invocare utility command-line, esegue query in-memory tramite SecItemCopyMatching() e impacchetta il risultato in JSON. Questa scelta riduce l'impronta forense ed elude le detection basate su process command line. Green Lambert adotta una filosofia simile, usando le API native SecKeychainFindInternetPassword e SecKeychainItemCopyAttributesAndData per cercare selettivamente password Internet — un approccio chirurgico che suggerisce obiettivi di intelligence mirati.

Calisto e Cuckoo Stealer operano in modo più grezzo: copiano file dal Keychain in posizioni controllate dall'attaccante. iKitten e Proton seguono lo stesso schema file-based, raccogliendo l'intero contenuto della directory Keychains. Questo cluster di infostealer indica che il furto di credenziali dal Keychain è una capability standard nel toolkit di qualsiasi operazione orientata a macOS.

Pattern e trend operativi

Un dato significativo è la biforcazione delle tecniche: da un lato il dump command-line via security (usato da Empire, riprodotto in contesti meno sofisticati), dall'altro l'accesso API-based in-memory (LightSpy, Green Lambert). I gruppi con maggiore maturità operativa preferiscono il secondo approccio per la sua minore visibilità. L'analista TI dovrebbe monitorare l'evoluzione dei loader macOS distribuiti tramite campagne di social engineering, con particolare attenzione a offerte di lavoro fraudolente nel settore tech e crypto — vettore preferito da Contagious Interview. La convergenza tra infostealer commodity e operazioni state-sponsored su macOS segnala che la piattaforma Apple non è più un rifugio sicuro dal credential theft su scala industriale.

Framework MITRE ATT&CK: tecnica T1555.001 (Keychain), tattica TA0006 (Credential Access), gruppo G1052, software S1185, S0690, S0363, S0279, S1016, S0349, S0274, S1153, S0278, S1246, mitigazione M1027, detection DET0396. Integrato con conoscenza professionale per tool e procedure operative.