Furto di Chiavi Private: Private Keys (T1552.004)

La simulazione di questa tecnica in un laboratorio red team parte da un presupposto semplice: una volta ottenuto un foothold, la ricerca di chiavi private è tra le primissime azioni di post-exploitation. L'obiettivo è dimostrare al cliente quanto velocemente un attaccante possa raccogliere materiale crittografico utilizzabile per lateral movement e impersonation.

Su sistemi Linux, la ricerca può iniziare con un comando find mirato alle estensioni più comuni:

find / -type f ( -name ".pem" -o -name ".key" -o -name ".pgp" -o -name ".gpg" -o -name ".ppk" -o -name ".p12" -o -name ".pfx" ) 2>/dev/null*

Per concentrarsi sulle chiavi SSH, la directory ~/.ssh di ogni utente è il primo bersaglio. Un rapido controllo con cat /home/*/.ssh/id_rsa 2>/dev/null rivela se esistono chiavi non protette da passphrase. Se la chiave è protetta, è possibile estrarre l'hash con ssh2john (parte di John the Ripper, open source) e tentare il cracking offline con john --wordlist= hash_ssh.txt.

Su Windows, Mimikatz (open source) offre il modulo CRYPTO::Extract per interagire con le API crittografiche di Windows e esportare chiavi dal certificate store. La sequenza operativa tipica prevede:

mimikatz # crypto::certificates /export mimikatz # crypto::keys /export

Per un approccio meno invasivo e più orientato all'enumerazione, Seatbelt (open source, repository GhostPack) permette di enumerare rapidamente certificati e chiavi con il comando Seatbelt.exe CertificateChecks. Anche il modulo Empire (open source) con Invoke-SessionGopher consente di estrarre informazioni su chiavi private e sessioni salvate da client come PuTTY, WinSCP e FileZilla.

Per simulare lo scenario Entra ID (Azure AD), AADInternals (open source) è lo strumento di riferimento: il cmdlet PowerShell Export-AADIntADFSSigningCertificate estrae i certificati di firma SAML da un server AD FS compromesso, riproducendo esattamente lo scenario osservato nella campagna SolarWinds Compromise (C0024).

Su dispositivi di rete, il comando da simulare in laboratorio è crypto pki export pem terminal, che esporta la coppia di chiavi RSA direttamente sulla console. Verificate sempre che il vostro scope di engagement copra esplicitamente i network device prima di eseguire questa operazione.

Un consiglio pratico: durante l'engagement, documentate non solo le chiavi trovate ma anche le permission dei file. Un file id_rsa con permessi 644 è già un finding critico, anche senza tentare di utilizzarlo.

Il rilevamento del furto di chiavi private richiede una strategia multilivello, perché la lettura di un file .pem o l'accesso alla directory .ssh sono azioni perfettamente legittime in molti contesti operativi. La chiave è correlare l'accesso ai file crittografici con comportamenti anomali successivi.

Su Windows, la detection principale (analytic AN1516) si basa su Sysmon e i Security Event Log. Configurate Sysmon con regole che monitorino FileOpen su path corrispondenti a pattern come C:\Users\*\.ssh\*, *.pem, *.pfx, *.ppk, *.p12. L'EventCode 11 (FileCreate) e l'EventCode 15 (FileCreateStreamHash) di Sysmon catturano la creazione di copie o archivi contenenti chiavi. Quello che rende l'alert azionabile è la correlazione: un processo non standard (diverso da certutil.exe, ssh.exe, mmc.exe) accede a file chiave e successivamente genera connessioni di rete o avvia un'operazione di compressione. Escludete nelle whitelist i processi di gestione certificati aziendali e i backup schedulati.

Su Linux (analytic AN1517), auditd è fondamentale. Le regole auditd da configurare monitorano i syscall di accesso file sulle directory sensibili:

-w /home/ -p r -k ssh_key_access -F dir=.ssh -w /etc/ssl/private/ -p r -k ssl_key_access

I log SYSCALL e EXECVE di auditd rivelano quale processo e quale utente ha letto la chiave. L'alert dovrebbe scattare quando si osservano sequenze come cat ~/.ssh/id_rsa seguite da tar o scp, oppure quando script Python o Bash accedono massivamente a directory .ssh di utenti diversi dal proprio.

Su macOS (analytic AN1518), il Unified Log cattura gli accessi ai file tramite processi come osascript, python3 o bash verso path /Users/*/.ssh o /Library/Keychains/. Il principio è identico: processi non standard che leggono materiale crittografico meritano investigazione.

Per i dispositivi di rete (analytic AN1519), il syslog deve essere configurato per catturare comandi CLI contenenti pattern come crypto pki export o export ssh-key. Correlate questi eventi con il contesto AAA: se l'utente che esegue l'export non è un amministratore di rete riconosciuto o se la sessione proviene da un IP insolito, l'alert è ad alta confidenza.

La gestione dei falsi positivi richiede un periodo di baselining di 2-3 settimane: identificate i processi che accedono regolarmente ai certificate store (agent di monitoring, script di rotazione certificati, tool DevOps) e inseriteli in una whitelist dinamica revisionata mensilmente.

L'analisi forense del furto di chiavi private si concentra su tre domande: quali chiavi sono state lette, da quale processo e dove sono finite dopo l'accesso. La ricostruzione della timeline richiede l'incrocio di artefatti del filesystem, log di sistema e tracce di rete.

Su Windows, la prima fonte è il registro NTFS. I timestamp $MFT (Master File Table) rivelano gli accessi recenti ai file con estensioni crittografiche. Utilizzate MFTECmd di Eric Zimmerman (open source) per parsare la MFT ed estrarre i record relativi a file .pem, .pfx, .ppk nelle directory utente. I Prefetch (directory C:\Windows\Prefetch) indicano se strumenti come mimikatz.exe o tool di compressione sono stati eseguiti, fornendo timestamp e riferimenti ai file acceduti. ShimCache e AmCache completano il quadro delle esecuzioni binarie.

Se Sysmon era attivo al momento dell'intrusione, l'EventCode 1 (Process Create) con la command line cattura esattamente il comando eseguito, mentre l'EventCode 3 (Network Connection) mostra le connessioni in uscita successive all'accesso. Nella campagna SolarWinds Compromise (C0024), APT29 ha ottenuto chiavi PKI e il private encryption key dal container AD FS per decifrare i certificati SAML di firma: un pattern forense riconoscibile dalla presenza di accessi anomali ai file nel percorso del servizio AD FS, combinati con la generazione di token SAML non riconducibili a sessioni utente legittime.

Su Linux, la ricostruzione passa dai log auditd (se configurato). I record SYSCALL con syscall open o openat sui path ~/.ssh/ forniscono PID, UID e timestamp precisi. In assenza di auditd, l'analisi si sposta sui timestamp ext4: con fls e mactime della suite Sleuth Kit (open source) è possibile costruire una timeline degli accessi ai file chiave. Controllate anche .bash_history e i log di sshd per comandi come cat id_rsa o connessioni SSH partite dal sistema compromesso verso altri host con chiavi rubate.

Il caso TeamTNT (G0139) è emblematico per gli ambienti containerizzati: questo gruppo cerca chiavi SSH non protette per propagare il proprio coinminer lateralmente. Gli artefatti da cercare includono script shell scaricati in /tmp o /dev/shm che contengono pattern find / -name id_rsa e i log di connessioni SSH verso IP interni partiti dalla macchina compromessa.

Per Scattered Spider (G1015), il focus forense si sposta sui certificati di code-signing: cercate nei log PowerShell (EventCode 4104 con ScriptBlock logging) comandi che enumerano il certificate store con Get-ChildItem Cert:\ o che esportano certificati con Export-PfxCertificate. La presenza di certificati esportati in directory temporanee è un forte indicatore di compromissione.

Infine, verificate sempre se le chiavi trovate dall'avversario erano protette da passphrase: la presenza di tool come ssh2john o pfx2john negli artefatti di esecuzione indica che l'attaccante ha dovuto effettuare un passaggio aggiuntivo di cracking, allungando la timeline e lasciando ulteriori tracce.

Il furto di chiavi private attraversa scenari operativi molto diversi, dal cryptomining opportunistico allo spionaggio strategico. Analizzando i 5 gruppi associati emergono pattern distinti che permettono di anticipare le prossime mosse.

Volt Typhoon (G1017) rappresenta la minaccia più sofisticata nel contesto delle infrastrutture critiche. Il suo accesso alla chiave AES dal file Local State di Chrome — utilizzata per decifrare le password salvate nel browser — rivela un approccio living-off-the-land che privilegia l'abuso di funzionalità native del sistema operativo. Per un'organizzazione che rileva attività di Volt Typhoon, il furto delle chiavi è probabilmente propedeutico a un accesso persistente e silenzioso ai sistemi di operational technology.

Storm-0501 (G1053) opera in ambiente cloud Azure, sfruttando il ruolo Owner per estrarre le Storage Account Access Keys tramite l'operazione Microsoft.Storage/storageAccounts/listkeys/action. Questo profilo è particolarmente insidioso per le organizzazioni in fase di migrazione cloud: la compromissione di un singolo account con privilegi elevati apre l'accesso a tutti gli storage account del tenant. Il pattern di escalation è chiaro — da credenziale compromessa a ruolo Owner, da ruolo Owner a chiavi di storage.

Scattered Spider (G1015) si distingue per il targeting dei certificati di code-signing. L'enumerazione e l'esfiltrazione di questi certificati dal host compromesso suggerisce obiettivi successivi di supply chain attack o distribuzione di malware firmato. Per le aziende di sviluppo software, questo profilo impone una protezione hardware dei certificati di firma tramite HSM.

TeamTNT (G0139) e Rocke (G0106) condividono un modello operativo orientato al cryptomining su larga scala, ma con una sofisticazione crescente. TeamTNT cerca chiavi SSH non protette per propagarsi, mentre Rocke utilizza le chiavi trovate sulla macchina infetta per diffondere il coinminer su tutta la rete. Il denominatore comune è l'ambiente Linux con workload containerizzati, tipico delle infrastrutture DevOps.

Le due campagne documentate confermano la versatilità della tecnica. In Operation Wocao (C0014), attori con possibile sovrapposizione con APT20 hanno usato Mimikatz per estrarre certificati e chiavi private dal certificate store Windows, in un contesto di cyber espionage multi-settoriale che ha colpito organizzazioni in 10 paesi tra il 2017 e il 2019. Nella SolarWinds Compromise (C0024), APT29 ha estratto le chiavi PKI dal container AD FS per forgiare token SAML — la celebre tecnica Golden SAML — in quello che rimane uno degli attacchi supply chain più devastanti mai documentati, con circa 18.000 organizzazioni potenzialmente esposte.

L'overlap dei tool è significativo: Mimikatz compare sia nei gruppi che nelle campagne, confermandosi come lo strumento di riferimento per l'estrazione di materiale crittografico su Windows. Sul versante cloud e identity, AADInternals e FoggyWeb evidenziano un trend chiaro verso il targeting dei sistemi di federazione dell'identità (AD FS, Azure AD), dove una singola chiave di firma compromessa equivale al controllo totale dell'autenticazione.

Framework MITRE ATT&CK v16 — T1552.004 Private Keys, TA0006. Campagne: C0014 (Operation Wocao), C0024 (SolarWinds Compromise). Detection: Sysmon, auditd, Unified Log macOS, syslog dispositivi di rete. Integrato con conoscenza professionale per tool e procedure operative.