Cracking delle Password: Password Cracking (T1110.002)

In un ingaggio red team, il password cracking è la naturale prosecuzione del credential dumping. Il workflow si articola in tre fasi: estrazione degli hash, trasferimento su una macchina di cracking dedicata e attacco offline con tool specializzati.

Fase 1 — Estrazione degli hash. Su Windows, il target primario è il file NTDS.dit del Domain Controller, che contiene tutti gli hash NTLM del dominio. Con accesso privilegiato, puoi estrarlo usando secretsdump.py dalla suite Impacket (open source):

secretsdump.py -just-dc-ntlm /:@

Questo comando estrae solo gli hash NTLM senza toccare i Kerberos ticket, riducendo il rumore. Per ambienti Linux, l'obiettivo è il file /etc/shadow, accessibile con privilegi root. Su dispositivi di rete — come documentato per alcune campagne — i file di configurazione dei router contengono hash delle credenziali locali, estraibili tramite accesso CLI o backup della running configuration.

Fase 2 — Cracking con Hashcat. Hashcat (open source) è lo standard de facto per il cracking accelerato via GPU. Per hash NTLM (mode 1000) con un attacco a dizionario combinato a regole:

hashcat -m 1000 -a 0 hash_ntlm.txt dizionario.txt -r rules/best64.rule

Il parametro -m 1000 specifica il tipo hash NTLM, -a 0 indica un attacco straight (dizionario), e il file di regole best64.rule applica mutazioni comuni (maiuscole, numeri in coda, leet speak). Per hash estratti da device di rete, come i type 5 (MD5-based) o type 9 (scrypt) di Cisco, Hashcat supporta i mode 500 e 9300 rispettivamente.

Fase 3 — John the Ripper. John the Ripper (open source) è l'alternativa storica, particolarmente efficace per formati meno comuni. Per crackare hash dal file shadow di Linux:

john --wordlist=dizionario.txt --rules=Jumbo hash_shadow.txt

Un approccio ibrido prevede un primo passaggio con dizionario e regole, seguito da un attacco a maschera per pattern specifici. Con Hashcat, un attacco a maschera per password di 8 caratteri con struttura "maiuscola + minuscole + cifre" si configura così:

hashcat -m 1000 -a 3 hash.txt ?u?l?l?l?l?l?d?d

Per il lab, CrackMapExec (open source) — oggi rinominato NetExec — integra funzionalità di spray e validazione delle credenziali crackate direttamente sulle share SMB e sui servizi del dominio. Come strumento complementare, puoi utilizzare rainbow table precomputate per hash LM — ancora presenti in ambienti legacy — scaricabili dal progetto RainbowCrack (open source).

Una nota operativa: documenta sempre il tempo di cracking e la percentuale di hash risolti. Questi dati sono oro per il report: dimostrano al cliente l'efficacia reale della propria password policy.

La sfida principale della detection del password cracking è che la fase computazionale avviene offline, fuori dalla visibilità del SOC. La strategia efficace si concentra quindi su due momenti: il prima (estrazione degli hash) e il dopo (utilizzo delle credenziali crackate).

Intercettare il dump degli hash. Su Windows, configura Sysmon (open source, richiede installazione) per catturare l'accesso ai file critici. L'EventCode 11 (FileCreate) e l'EventCode 1 (ProcessCreate) sui log Sysmon sono i tuoi alleati primari. Monitora l'accesso a percorsi sensibili: il file SAM in C:\Windows\System32\config, il file NTDS.dit in C:\Windows\NTDS, e il registry hive SYSTEM. Sul lato Security Event Log, l'EventCode 4663 (Object Access) con audit abilitato su questi file segnala tentativi di lettura anomali.

Parallelamente, sorveglia l'esecuzione di binari noti per il cracking. Anche se l'attaccante tipicamente opera offline, non è raro trovare tool come hashcat o john eseguiti direttamente su macchine compromesse — specialmente in scenari opportunistici. Crea regole di matching sui nomi processo (hashcat.exe, john.exe) ma anche sugli hash dei binari, perché un attaccante esperto rinomina gli eseguibili.

Rilevare l'uso delle credenziali crackate. Questo è il punto di detection più affidabile. Su azure:signinlogs e sui log degli Identity Provider, cerca login validi da account che risultavano inattivi o che avevano subito un credential dump noto. Configura una finestra temporale di correlazione: se un evento di dump viene rilevato e, nelle ore o giorni successivi, lo stesso account effettua un'autenticazione da un IP o una geolocalizzazione insolita, la probabilità di cracking riuscito è elevata. L'EventCode 4624 (Logon) con Logon Type 10 (Remote Interactive) o Type 3 (Network) su account precedentemente compromessi merita priorità alta.

Per i device di rete, monitora i log syslog di router e switch alla ricerca di autenticazioni CLI o web-based da account i cui hash erano memorizzati nei file di configurazione. Correla temporalmente l'accesso non autorizzato alla configurazione con successivi login validi.

La gestione dei falsi positivi richiede contesto. Filtra le esecuzioni legittime di tool di audit password — come quelli usati dal team IT per verificare la robustezza delle policy — attraverso whitelist basate su utente, macchina sorgente e finestra temporale. L'EventCode 4625 (Failed Logon) ripetuto da una singola sorgente è indicativo di spray, non di cracking; distinguere i due pattern evita alert fuorvianti.

L'analisi forense del password cracking lavora sulle tracce lasciate prima e dopo l'operazione offline. La timeline si costruisce partendo dall'estrazione degli hash e arrivando all'utilizzo delle credenziali recuperate.

Artefatti Windows — la fase di dump. Il punto di partenza è identificare quando e come gli hash sono stati estratti. Cerca nei log Sysmon l'EventCode 1 per l'esecuzione di tool come secretsdump, mimikatz o copie del Volume Shadow Copy usate per estrarre NTDS.dit. L'EventCode 11 (FileCreate) rivela la creazione di file dump in directory temporanee. Analizza anche i log EventCode 4799 e 4672 (Special Privileges) per ricostruire la catena di privilege escalation che ha reso possibile l'accesso ai file protetti.

Nei filesystem, cerca artefatti residui: file con estensione .dit, .sam, copie del registry hive SYSTEM, o file di testo contenenti elenchi di hash nel formato utente:hash. Le directory temporanee dell'utente, il cestino e le Alternate Data Streams sono location frequenti. La MFT ($MFT) e il journal USN ($UsnJrnl) permettono di ricostruire la creazione, modifica e cancellazione di questi file anche dopo cleanup parziali.

Artefatti Linux. Verifica i log auditd per accessi al file /etc/shadow (SYSCALL con open/openat sulla path). Il timestamp dell'ultimo accesso al file shadow, se il filesystem non è montato con noatime, fornisce un indicatore diretto. Su dispositivi di rete, cerca nei log la copia o l'esportazione del file di configurazione — comandi come show running-config o trasferimenti TFTP/SCP verso IP esterni.

Ricostruire la fase post-cracking. Questa è la chiave della timeline. Correla la finestra temporale del dump con i primi login riusciti da account compromessi. Sui Domain Controller, i log EventCode 4624 con dettagli su Logon Type, workstation sorgente e IP forniscono il punto di ingresso. Cerca pattern di lateral movement: login riusciti in rapida successione su più macchine dallo stesso account, specialmente se l'account non aveva precedenti di accesso a quei sistemi.

Su macOS, i Unified Log conservano l'esecuzione di processi non firmati e l'accesso a file di credenziali. Cerca invocazioni di binari sospetti con il comando log show --predicate filtrando per processi non firmati con accesso a directory sensibili.

Un artefatto spesso trascurato: i Prefetch di Windows (C:\Windows\Prefetch) conservano traccia dell'esecuzione di binari anche dopo la cancellazione dell'eseguibile, con timestamp e conteggio delle esecuzioni. Un file HASHCAT.EXE-{hash}.pf è una prova inequivocabile di cracking locale.

Il password cracking è una tecnica trasversale: la utilizzano gruppi di spionaggio statale, attori finanziari e team con capability variabili. Ciò che cambia è il contesto — quali hash estraggono, come li crackano e cosa fanno dopo.

APT3 (G0022) rappresenta l'approccio classico di un gruppo con capacità offensive avanzate: il brute force degli hash è integrato in una catena operativa dove il Pass the Hash non è sufficiente per raggiungere determinati obiettivi. Il cracking per APT3 è un mezzo, non un fine — serve ad ottenere credenziali riutilizzabili su sistemi dove l'autenticazione NTLM non è accettata.

Dragonfly (G0035) si distingue per l'uso esplicito di tool dedicati: il gruppo ha deployato Hydra (open source) e CrackMapExec (open source, ora NetExec) direttamente negli ambienti compromessi. Questa scelta operativa rivela un modus operandi meno preoccupato dell'OPSEC rispetto al cracking puramente offline — suggerendo contesti dove la persistenza è già consolidata e il rischio di detection è ritenuto basso.

Salt Typhoon (G1045) introduce una variante significativa: il cracking di password ottenute dai file di configurazione di dispositivi di rete. Questo profilo indica un targeting specifico verso infrastrutture telco e di rete, dove le credenziali locali dei device sono spesso protette con algoritmi deboli (type 7 reversibili, type 5 MD5-based). L'implicazione per la threat intelligence è chiara: organizzazioni con fleet di router e switch devono considerare gli hash nei file di configurazione come target primario per questo attore.

FIN6 (G0037), gruppo a motivazione finanziaria, segue un percorso canonico: estrazione di NTDS.dit dal Domain Controller e cracking offline. La scelta di colpire il database Active Directory intero — anziché singoli hash — indica l'obiettivo di ottenere accesso al maggior numero possibile di account, coerente con operazioni di lateral movement massivo verso sistemi con dati di pagamento.

La campagna Night Dragon (C0002), attiva tra il 2009 e il 2011 contro settori oil & gas e SCADA, documenta l'uso di Cain & Abel per il cracking — un tool ormai datato ma indicativo dell'epoca e del livello di sofisticazione richiesto. Il targeting verso sistemi di produzione e dati finanziari nel settore energetico, con attribuzione a un gruppo basato in Cina, completa un quadro dove il cracking abilitava l'accesso a reti segmentate contenenti dati SCADA.

Il software Net Crawler (S0056) aggiunge una dimensione automatizzata: utilizza credenziali già raccolte tramite credential dumping per propagarsi lateralmente, testando password note su nuovi account. Non è cracking puro, ma mostra come le credenziali recuperate alimentino catene di propagazione automatica.

Il pattern emergente è chiaro: il cracking si specializza in funzione del target. Gli attori che colpiscono infrastrutture di rete cercano hash nei file di configurazione; quelli che mirano a reti enterprise puntano a NTDS.dit; tutti convergono verso il lateral movement come obiettivo finale. Per la difesa, la multi-factor authentication (M1032) è il controllo che neutralizza il cracking indipendentemente dalla sofisticazione dell'attaccante: anche una password crackate diventa inutile se l'autenticazione richiede un secondo fattore.

Framework MITRE ATT&CK: tecnica T1110.002, tattica TA0006, campagna C0002 (Night Dragon), gruppi G0022, G0035, G0037, G1045, software S0056, mitigazioni M1027, M1032. Detection DET0105 (AN0292–AN0296). Integrato con conoscenza professionale per tool e procedure operative.