Furto di Credenziali dai Password Manager: Credentials from Password Managers (T1555.005)

La simulazione di questa tecnica in laboratorio parte da un presupposto: l'operatore ha già accesso alla workstation vittima con privilegi sufficienti a leggere la memoria del processo o i file del vault. Il primo obiettivo è individuare i password manager installati e i relativi database.

Su Windows, una ricerca rapida dei file vault più comuni si esegue con:

dir /s /b C:\Users*.kdbx C:\Users*.opvault C:\Users*.ldb

Questo comando scansiona ricorsivamente le home degli utenti cercando le estensioni tipiche di KeePass, 1Password e LastPass. Su Linux la logica è analoga:

find /home -type f ( -name ".kdbx" -o -name ".gpg" ) 2>/dev/null

Una volta identificato un database KeePass, lo scenario più interessante è l'estrazione della master password dalla memoria. KeeThief (open source, repository GhostPack) è un toolset specifico: contiene un modulo PowerShell che aggancia il processo KeePass.exe e legge la master password in chiaro dalla memoria CLR. L'esecuzione tipica prevede di importare il modulo e invocare la funzione Get-KeePassDatabaseKey con il PID del processo KeePass attivo.

Per la vulnerabilità CVE-2023-32784, che affligge KeePass 2.x precedente alla 2.54, lo strumento keepass-password-dumper (open source) consente di recuperare la master password (tranne il primo carattere) da un dump di memoria. Il flusso operativo prevede la creazione di un dump del processo con:

procdump.exe -ma <PID_KeePass> keepass.dmp

dove ProcDump (gratuito, Microsoft Sysinternals) cattura l'intero address space. Il dump viene poi analizzato con il tool dedicato.

Su Linux, un red teamer può sfruttare gdb (open source) per agganciare il processo di KeePassXC e ispezionarne la memoria, oppure utilizzare strace per intercettare le syscall di lettura del vault. Un approccio più pulito passa da Keychainedump (open source) su macOS per estrarre credenziali dal Keychain quando è sbloccato.

Per simulare lo scenario PowerShell utilizzato da Storm-0501, il repository Find-KeePassConfig (open source) contiene lo script Find-KeePassConfig.ps1 che cerca file di configurazione KeePass sul filesystem e ne analizza i trigger — una tecnica che permette di identificare database, percorsi e potenziali punti di estrazione senza nemmeno toccare la memoria.

In un engagement red team strutturato, la catena consigliata è: enumerazione file vault → verifica processo attivo → dump memoria → estrazione credenziali → validazione su target laterali. Documentate ogni passo con timestamp per il debrief difensivo.

Il rilevamento di questa tecnica ruota attorno a tre superfici di osservazione: l'accesso ai file vault, l'interazione anomala con i processi del password manager e l'esecuzione di tool noti per l'estrazione.

La detection primaria su Windows sfrutta i log Sysmon e i Security Event Log. L'analisi AN1641 definisce un approccio correlato: monitorare la creazione di processi che accedono ai binari del password manager, le chiamate API di lettura memoria cross-process e l'accesso ai file con estensioni .kdbx, .opvault e .ldb. In pratica, configurate Sysmon con regole che catturino:

• Event ID 1 (Process Create): filtrate per command line contenenti KeePass, keepassxc, 1password, Find-KeePassConfig, KeeThief
• Event ID 10 (Process Access): qualsiasi processo che apra un handle con diritti PROCESS_VM_READ verso KeePass.exe o processi equivalenti — questo è il segnale più forte di memory scraping
• Event ID 11 (File Create): creazione o copia di file .kdbx in directory inusuali (ad esempio la cartella Temp o percorsi di staging)

Il tuning è fondamentale: definite una lista esplicita dei binari legittimi del password manager nell'ambiente (parametro [PasswordManagerBinaries]) e una whitelist dei processi padre attesi ([ParentProcessWhitelist]). Un utente che apre KeePass dal menu Start genera un pattern prevedibile; un processo PowerShell che lancia Get-Process KeePass e poi legge la memoria genera un pattern molto diverso.

Su Linux la detection AN1642 si appoggia ad auditd. Configurate regole audit sui percorsi dei vault:

-w /home/ -p r -k vault_access -F name=.kdbx*

Monitorate anche l'attach di debugger: qualsiasi invocazione di gdb o strace con un PID target corrispondente a keepassxc o gnome-keyring-daemon merita un alert ad alta priorità.

Su macOS la detection AN1643 utilizza l'Unified Log e osquery (open source). Una query osquery per monitorare l'accesso ai file vault:

SELECT * FROM file_events WHERE target_path LIKE '%.kdbx' OR target_path LIKE '%.opvault';

Per i falsi positivi, il parametro [TimeWindow] è la chiave: un singolo accesso al file vault da parte del processo legittimo è normale, ma una sequenza di accesso file + lettura memoria + creazione archivio in una finestra di pochi minuti è fortemente sospetta. Correlate questi eventi con il contesto utente ([UserContext]): un account amministrativo che accede al vault di un altro utente è un indicatore ad alta confidenza.

L'indagine forense su un furto da password manager si articola in tre fasi: individuare l'accesso al database, ricostruire l'estrazione delle credenziali e tracciare l'uso successivo delle credenziali rubate.

Il primo artefatto da cercare è il file vault stesso. Su Windows, i database KeePass (.kdbx) risiedono tipicamente nel profilo utente, ma un avversario potrebbe copiarli altrove prima dell'esfiltrazione. Consultate la MFT ($MFT) per individuare creazione, modifica e copia del file vault. Il timestamp $STANDARD_INFORMATION di ultimo accesso, confrontato con il $FILE_NAME, può rivelare timestomping. Utilizzate un tool come MFTECmd (open source, Eric Zimmerman) per parsare la MFT:

MFTECmd.exe -f C:$MFT --csv output\ --csvf mft_parsed.csv

Filtrate poi l'output per le estensioni .kdbx, .opvault, .ldb. Se il file è stato copiato, la USN Journal ($UsnJrnl:$J) registrerà l'operazione con il reason code DATA_EXTEND | FILE_CREATE.

Per la fase di memory scraping, cercate evidenze di process injection o debug attach. I log Sysmon Event ID 10 nel canale Microsoft-Windows-Sysmon/Operational documentano ogni apertura di handle cross-process. Negli Prefetch (su sistemi client Windows), la presenza di file .pf per tool come procdump.exe, gdb o script PowerShell anomali fornisce una prova dell'esecuzione con timestamp. Analizzateli con PECmd (open source, Eric Zimmerman).

La PowerShell Script Block Logging (Event ID 4104) è particolarmente preziosa per questa tecnica: se Storm-0501 ha usato Find-KeePassConfig.ps1, l'intero contenuto dello script viene registrato nel canale Microsoft-Windows-PowerShell/Operational. Cercate stringhe come KeePass, Get-KeePassDatabaseKey, SecureString, .kdbx.

Su Linux, il journal di auditd registra le syscall ptrace (usata da gdb/strace per agganciare un processo) e le open/read sui file del vault. Parsate i log con ausearch:

ausearch -k vault_access -ts recent

Sulla timeline, correlate l'accesso al vault con i login successivi: se le credenziali estratte includono password di servizio o account di dominio, dovreste osservare autenticazioni anomale (Event ID 4624 tipo 3 o 10) originanti dall'host compromesso verso target laterali entro minuti o ore dall'estrazione.

Nei casi legati all'Operation Wocao (C0014), gli operatori hanno raccolto credenziali dai password manager come parte di una catena più ampia di cyber spionaggio che comprendeva accesso a webshell e lateral movement. La ricostruzione forense in scenari simili deve estendersi dal singolo host al perimetro di rete, tracciando le connessioni in uscita successive all'estrazione.

L'analisi dei sette gruppi mappati su questa tecnica rivela uno spettro operativo ampio, che va dallo spionaggio statale al cybercrime finanziario, con una convergenza sorprendente: il password manager è un obiettivo universale.

Threat Group-3390 (G0027), attore legato alla Cina specializzato in spionaggio, ha ottenuto un database KeePass da un host compromesso. La loro operatività si inserisce in campagne di lungo periodo contro settori governativi e della difesa; il vault rappresenta una scorciatoia per accedere a credenziali di sistema senza generare rumore. Stessa logica per Fox Kitten (G0117), gruppo iraniano che ha sviluppato script dedicati per interrogare il database KeePass — indice di una procedura operativa standardizzata nel loro playbook, tipica di attori che ripetono pattern consolidati su target multipli nel settore energetico e governativo.

UNC3886 (G1048) si distingue per il livello di sofisticazione: questo gruppo ha preso di mira file database KeyPass come parte di operazioni focalizzate su ambienti virtualizzati e infrastrutture di gestione. Il loro interesse per i vault suggerisce che le credenziali estratte servano ad accedere a hypervisor, management plane o appliance di rete — target ad altissimo impatto.

Sul fronte cybercriminale, Indrik Spider (G0119) — noto per le operazioni ransomware — ha acceduto ed esportato password dai manager come fase preparatoria alla distribuzione del payload. Storm-0501 (G1053) ha automatizzato il processo con Find-KeePassConfig.ps1, dimostrando una maturità operativa che integra tool pubblici in catene d'attacco ransomware multi-fase.

Scattered Spider (G1015) e LAPSUS$ (G1004) rappresentano il polo più giovane e aggressivo: entrambi puntano ai vault e alle soluzioni PAM (come HashiCorp Vault nel caso di Scattered Spider) come vettore primario di privilege escalation. La loro propensione al social engineering combinata con il furto da password manager crea una catena particolarmente efficace.

La campagna Operation Wocao (C0014), attiva tra dicembre 2017 e dicembre 2019, ha colpito organizzazioni in dieci paesi (tra cui Italia, Germania, Regno Unito e Stati Uniti) nei settori governo, aviazione, energia, finanza e sanità. I ricercatori hanno rilevato sovrapposizioni di TTP con APT20. L'accesso ai password manager è stato uno degli strumenti di raccolta credenziali nella fase post-compromise.

Dal punto di vista dei malware, TrickBot (S0266) e MarkiRAT (S0652) integrano moduli di raccolta specifici per KeePass, mentre Proton (S0279) su macOS targettizza 1Password. InvisibleFerret (S1245) aggiunge un elemento di esfiltrazione automatizzata via Telegram e FTP, un pattern emergente che riduce la dipendenza dall'infrastruttura C2 tradizionale.

Il trend è chiaro: il password manager sta diventando un single point of failure per la sicurezza credenziale. La convergenza tra attori statali e cybercriminali su questa tecnica suggerisce che le organizzazioni debbano trattare il vault come un asset critico, al pari di un domain controller.

Framework MITRE ATT&CK v16 — T1555.005, TA0006, C0014 (Operation Wocao). Detection: DET0597 (AN1641, AN1642, AN1643). Tool di detection: Sysmon, auditd, osquery, MFTECmd, PECmd. Integrato con conoscenza professionale per tool e procedure operative.