Trasferimento Laterale di Strumenti: Lateral Tool Transfer (T1570)

In un esercizio red team il trasferimento laterale di tool è il pane quotidiano della fase post-exploitation. L'obiettivo è simulare il comportamento reale degli avversari, utilizzando gli stessi protocolli e le stesse utility che un SOC deve imparare a riconoscere.

Il percorso più battuto passa per SMB e le Admin Shares. Con credenziali valide (ottenute da un dump LSASS o da Kerberoasting), la copia di un payload su un Domain Controller si riduce a un comando:

copy C:\staging\beacon.exe \DC01\C$\Windows\Temp\beacon.exe

Subito dopo, l'esecuzione remota tramite PsExec (open source, Sysinternals) completa la catena:

psexec \DC01 -u DOMAIN\admin -p password -c C:\staging\beacon.exe

Questo è esattamente il pattern documentato per Wizard Spider, che copiava strumenti nella directory %TEMP% dei domain controller, e per GALLIUM, che usava PsExec per il lateral movement.

Per un approccio più sofisticato, Impacket (open source) offre wmiexec.py e smbclient.py. Il modulo smbclient.py permette di interagire con share remote in modo interattivo:

python3 smbclient.py DOMAIN/user:password@192.168.1.10

Una volta connessi, i comandi put e get trasferiscono file come in una sessione FTP. Il modulo wmiexec.py combina trasferimento e esecuzione remota via WMI — lo stesso approccio usato nella campagna C0015, dove gli attaccanti caricarono Cobalt Strike tramite WMI, e nella campagna SharePoint ToolShell Exploitation (C0058).

Su Linux, la simulazione si basa su utility native. Un trasferimento via scp tra due host compromessi:

scp /tmp/implant user@10.0.0.5:/tmp/implant

Per ambienti ESXi — scenario critico dato il comportamento documentato di UNC3886, che usava script Python per trasferire file tra host ESXi e VM guest — è utile simulare con:

scp /tmp/payload root@esxi-host:/vmfs/volumes/datastore1/

Un'altra tecnica da laboratorio replica il comportamento di Sandworm Team: creare un Group Policy Object che copia un eseguibile da un server di staging a tutti gli endpoint del dominio. In ambiente lab con PowerShell e il modulo GroupPolicy (incluso in RSAT):

Copy-Item "\staging-srv\share\payload.exe" "\DC01\SYSVOL\domain\scripts\payload.exe"

Per il deploy massivo come faceva INC Ransom, una successione rapida di comandi copy verso endpoint multipli è sufficiente a testare la detection.

La sfida principale nella detection del trasferimento laterale è distinguere il traffico malevolo dalla normale attività amministrativa. Ogni giorno, script di patching, deploy software e backup legittimi generano lo stesso tipo di eventi. La chiave è la correlazione temporale e contestuale tra trasferimento e successiva esecuzione.

Su Windows, le fonti primarie sono i log Security e Sysmon (open source). L'analytic AN0516 suggerisce di correlare le scritture di file su share SMB o Admin$ con la creazione di processi che non rientrano nei pattern amministrativi normali. Gli eventi critici da monitorare:

• EventCode 5145 (Security) — accesso a share di rete, filtrando su share sensibili come C$, ADMIN$ e IPC$
• EventCode 11 (Sysmon) — creazione file in directory sospette (\Windows\Temp, %TEMP%, \PerfLogs)
• EventCode 1 (Sysmon) — creazione processo, cercando l'esecuzione di binari appena scritti
• EventCode 3 (Sysmon) — connessioni di rete su porta 445 (SMB) o 135 (RPC) tra workstation

La correlazione vincente lega una scrittura file remota (EventCode 11) alla sua esecuzione (EventCode 1) entro una finestra temporale stretta — tipicamente 1-5 minuti. Se un file appare in C:\Windows\Temp e viene eseguito 30 secondi dopo da un utente con privilegi elevati, il segnale è forte.

Per il tuning dei falsi positivi, i parametri dell'analytic sono chiari: creare whitelist per gli account di servizio autorizzati al deploy (come gli agent PDQ Deploy o SCCM), escludere le directory note di aggiornamento software, e contestualizzare per fascia oraria — un trasferimento SMB alle 3 di notte da un account utente standard non è normale.

Su Linux (AN0517), il monitoraggio passa per auditd con regole mirate su execve per i processi scp, rsync, curl, sftp e ftp che trasferiscono verso IP interni. Una regola auditd efficace:

-w /usr/bin/scp -p x -k lateral_transfer

Il segnale critico è la combinazione: trasferimento verso directory non standard (/tmp, /dev/shm, /var/tmp) seguito da chmod +x e successiva esecuzione.

Per ESXi (AN0519), i log vmkernel e hostd registrano upload su datastore e sessioni SSH interne. Qualsiasi creazione di file VMX, VMDK o script in path non autorizzati merita un alert. Dal lato rete, i sistemi NIDS/NIPS (come Suricata, open source) possono identificare signature specifiche per trasferimenti anomali, coerentemente con la mitigazione M1031.

La mitigazione M1037 suggerisce di impiegare il firewall host per restringere le comunicazioni SMB. Concretamente, significa disabilitare SMBv1 e limitare via GPO le porte 445/139 al traffico strettamente necessario tra segmenti di rete autorizzati.

Ricostruire il percorso laterale di un attaccante significa seguire le tracce lasciate da ogni copia, ogni esecuzione, ogni connessione tra host. Il trasferimento laterale produce artefatti su entrambi i lati — sorgente e destinazione — e la timeline si costruisce incrociandoli.

Su Windows, il punto di partenza sono i log di accesso alle share. L'EventCode 5140 (Security) registra ogni accesso a share di rete e l'EventCode 5145 dettaglia quali file sono stati letti o scritti. Incrociando questi eventi con le sessioni di logon (EventCode 4624, logon type 3 per rete), si ricostruisce chi ha copiato cosa e da dove.

Gli artefatti del filesystem completano il quadro. La $MFT (Master File Table) di NTFS registra il timestamp di creazione di ogni file — inclusi quelli scritti da remoto nella directory \Windows\Temp o %TEMP%, le posizioni preferite di gruppi come Wizard Spider. Lo strumento MFTECmd (open source, parte di Eric Zimmerman's Tools) analizza la MFT estraendo i timestamp SI (Standard Information) e FN (File Name): una discrepanza tra i due è un forte indicatore di timestomping.

MFTECmd.exe -f "C:\evidence$MFT" --csv "C:\output" --csvf mft_analysis.csv

Per file copiati via SMB, un artefatto spesso trascurato sono le Shellbags e i Jump Lists del profilo utente sorgente, che possono rivelare la navigazione verso le share remote. Lo strumento JLECmd (open source, Eric Zimmerman's Tools) analizza i Jump Lists:

JLECmd.exe -d "C:\Users\admin\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations" --csv "C:\output"

Le Prefetch files sul sistema destinazione confermano l'esecuzione dei binari trasferiti. PECmd (open source, Eric Zimmerman's Tools) estrae i timestamp di esecuzione e i file referenziati:

PECmd.exe -d "C:\Windows\Prefetch" --csv "C:\output"

Se l'attaccante ha usato PsExec — come documentato per BlackByte, GALLIUM e gli operatori Netwalker — cercate il servizio PSEXESVC.exe nei log di sistema (EventCode 7045, installazione servizio) e il named pipe \PSEXESVC nella memoria. L'impronta è inconfondibile.

Su Linux, i log di sshd in /var/log/auth.log (o secure su RHEL) documentano le sessioni SSH/SCP interne con IP sorgente e destinazione. La combinazione con i log auditd — in particolare i record SYSCALL per execve e i record PATH per le creazioni file — permette di tracciare il flusso completo: connessione, scrittura file, modifica permessi, esecuzione.

Per ambienti ESXi, il caso di UNC3886 insegna a cercare nei log hostd e vmkernel evidenze di trasferimenti Python-based tra host e VM guest. I file con estensione .py creati in path dei datastore sono anomali e meritano analisi immediata.

La timeline unificata si costruisce con Plaso/log2timeline (open source): ingestione immagini disco, log eventi e log di rete in un'unica sequenza cronologica. Il risultato evidenzia la catena — primo accesso alla share, creazione file, modifica attributi, esecuzione — che racconta la storia del movimento laterale.

Il trasferimento laterale di strumenti è una tecnica universale, ma i metodi di esecuzione raccontano molto sull'identità e le priorità dell'avversario. Analizzando i 19 gruppi documentati emergono pattern distintivi.

Sandworm Team rappresenta il caso più complesso e operativamente maturo. Attraverso tre campagne documentate contro l'infrastruttura energetica ucraina — la 2015 Ukraine Electric Power Attack (C0028), la 2016 Ukraine Electric Power Attack (C0025) e la 2022 Ukraine Electric Power Attack (C0034) — il gruppo ha evoluto il proprio approccio: dal semplice spostamento di tool tra rete IT e rete ICS nel 2015, all'uso del comando move verso share di rete nel 2016, fino alla distribuzione di CaddyWiper tramite Group Policy Object nel 2022. Questa progressione verso l'abuso di strumenti di dominio per il deploy massivo è una firma operativa significativa. Il trasferimento di file ISO verso le reti OT segna un'ulteriore evoluzione tattica.

Volt Typhoon si distingue per la focalizzazione sulle web shell, copiate tra server negli ambienti target. Questo approccio minimalista — nessun malware custom, solo strumenti già presenti — riflette la filosofia living-off-the-land che caratterizza le operazioni di questo attore. Un pattern simile si osserva in Chimera, che si affida esclusivamente a SMB per la copia di tool tra host, senza deploy di infrastrutture aggiuntive.

UNC3886 apre uno scenario emergente con il trasferimento di file tra host ESXi e VM guest tramite script Python. Questa capacità, che sfrutta le API dell'hypervisor, rappresenta un vettore laterale che aggira completamente il monitoraggio di rete tradizionale. Combinata con i malware VIRTUALPITA e VIRTUALPIE — entrambi dotati di capacità di file transfer — la superficie d'attacco si estende al layer di virtualizzazione.

Sul fronte ransomware, INC Ransom e BlackByte mostrano un pattern di deploy rapido e massivo. INC Ransom utilizza sequenze rapide di comandi copy per distribuire l'eseguibile di cifratura su endpoint multipli, mentre BlackByte trasferisce Cobalt Strike e AnyDesk tramite share SMB durante le operazioni preparatorie, e il ransomware BlackByte Ransomware propaga il proprio launcher JavaScript scrivendo su cartelle condivise mappate. Storm-1811 invece si distingue per l'uso del toolkit Impacket per lo staging e l'esecuzione remota — lo stesso toolkit usato da Velvet Ant per trasferimenti laterali all'interno delle reti vittima.

La campagna HomeLand Justice (C0038), attribuita ad attori statali iraniani, mostra un pattern operativo interessante: il processo Mellona.exe distribuisce sia il ransomware ROADSWEEP sia script di persistenza verso una lista predefinita di host interni, indicando una pianificazione dettagliata del target interno. Agrius, altro attore iraniano, integra servizi di file sharing legittimi come ufile.io ed easyupload.io per il download di payload successivi.

Un dato trasversale: gli attori più sofisticati (Sandworm, UNC3886, Volt Typhoon) tendono ad abusare di infrastruttura e protocolli già presenti, mentre gli operatori ransomware prediligono tool dedicati come PsExec, Impacket e software di remote access. Per l'analista di intelligence, la scelta del vettore di trasferimento laterale è un indicatore di maturità operativa e, spesso, di attribuzione.

Framework MITRE ATT&CK v16 — T1570 Lateral Tool Transfer, TA0008. Campagne: C0018, C0025, C0014, C0034, C0038, C0028, C0015, C0058. Mitigazioni: M1037, M1031. Detection: MFTECmd, PECmd, JLECmd (Eric Zimmerman's Tools), Plaso/log2timeline, Sysmon, auditd, Suricata. Integrato con conoscenza professionale per tool e procedure operative.