Raccolta Dati Locale: Data from Local System (T1005)

La simulazione di questa tecnica richiede un approccio metodico per testare le difese aziendali. Su Windows, il comando dir /s /b C:\Users*.docx permette di enumerare rapidamente tutti i documenti Word nel profilo utente, mentre PowerShell offre capacità più sofisticate.

Get-ChildItem -Path C:\ -Include .pdf,.xls,.doc -Recurse -ErrorAction SilentlyContinue | Select-Object FullName, LastWriteTime*

Questo comando enumera silenziosamente file d'interesse su tutto il disco C:. Per la raccolta vera e propria, gli attaccanti spesso creano archivi compressi prima dell'esfiltrazione.

Su Linux, la combinazione di find e tar risulta letale per identificare e raccogliere dati sensibili. Il comando find /home -name ".conf" -o -name ".key" -o -name ".pem" 2>/dev/null* individua file di configurazione e chiavi crittografiche. La successiva archiviazione avviene con tar -czf /tmp/data.tar.gz --files-from=/tmp/filelist.txt.

Per sistemi macOS, l'accesso ai keychain richiede tecniche specifiche. security dump-keychain -d login.keychain può esporre credenziali salvate, mentre mdfind -name "password" sfrutta Spotlight per localizzare file contenenti informazioni sensibili.

I dispositivi di rete ESXi presentano opportunità uniche. Il comando vim-cmd vmsvc/getallvms elenca tutte le VM, mentre cp /vmfs/volumes/datastore1/.vmdk /tmp/* permette di copiare interi dischi virtuali. La raccolta di configurazioni avviene tramite esxcli system settings advanced list -d.

Per automatizzare la raccolta, strumenti come PowerSploit su Windows offrono moduli dedicati all'esfiltrazione. Il modulo Get-GPPPassword estrae password da Group Policy Preferences, mentre Invoke-CredentialInjection recupera credenziali dalla memoria LSASS senza triggering di alert comuni.

La detection efficace richiede un approccio multi-layer che combini analisi comportamentale con pattern matching intelligente. Il monitoraggio delle query ricorsive su file system costituisce il primo livello di difesa.

Su Windows, Sysmon Event ID 11 cattura la creazione di file, permettendo di identificare staging di dati in directory temporanee. La correlazione tra processi che leggono masse di file (Event ID 4663) e successiva compressione (spawn di 7zip.exe o tar.exe) indica possibile esfiltrazione in corso.

L'analisi dei comandi PowerShell richiede attenzione particolare. Script block logging (Event ID 4104) rivela comandi come Get-ChildItem con parametri recursivi su path sensibili. La presenza di -Include con multiple estensioni file suggerisce raccolta mirata di documenti.

Su sistemi Linux, auditd fornisce visibilità granulare. La regola -w /home -p r -k sensitive_file_access monitora accessi in lettura alle home directory. Pattern di accesso sequenziale a molti file in breve tempo, specialmente se seguito da creazione di archivi in /tmp, merita investigazione immediata.

Il comportamento di rete offre indicatori aggiuntivi. Picchi improvvisi di letture dal disco correlati con aumento del traffico outbound suggeriscono esfiltrazione attiva. La baseline del normale comportamento utente permette di identificare anomalie come accessi massivi fuori orario lavorativo.

Per ridurre i falsi positivi, implementate whitelist basate su processi legittimi di backup e sincronizzazione. Tuttavia, monitorate attentamente l'abuso di tool legittimi: 43% degli attacchi utilizza software built-in del sistema operativo per evadere detection tradizionali.

La ricostruzione post-compromissione richiede l'analisi di molteplici artefatti che testimoniano l'attività di raccolta dati. Il filesystem stesso conserva tracce preziose attraverso timestamp MACB (Modified, Accessed, Created, Birth) che rivelano pattern di accesso anomali.

Su Windows, l'analisi del Master File Table ($MFT) espone la sequenza temporale degli accessi ai file. Tool come MFTECmd permettono di identificare cluster di accessi a documenti sensibili. La presenza di file .zip o .rar in directory temporanee con timestamp vicini agli accessi massivi indica staging pre-esfiltrazione.

Il registro di Windows conserva evidenze negli ShellBags (NTUSER.DAT), mostrando quali cartelle l'attaccante ha navigato tramite Explorer. La chiave RecentDocs elenca file aperti recentemente, spesso includendo documenti target della raccolta.

L'analisi della memoria volatile può rivelare processi di collezione ancora attivi. Strings analysis su dump di memoria spesso espone path completi di file processati, comandi eseguiti e persino contenuti di file temporanei già cancellati dal disco.

Per campagne come SolarWinds Compromise, l'analisi forense ha rivelato l'uso di tecniche di timestomping per mascherare l'attività. La correlazione tra USN Journal e $LogFile ha permesso di ricostruire la vera timeline nonostante i timestamp modificati.

Su sistemi Linux, l'analisi di .bash_history (quando non cancellato) rivela comandi di ricerca e archiviazione. I log di auditd, se configurati preventivamente, forniscono un trail dettagliato di ogni file acceduto con timestamp precisi e contesto del processo chiamante.

L'analisi dei pattern di raccolta dati rivela fingerprint distintivi dei diversi gruppi APT. APT28 predilige l'uso di Forfiles per lo staging pre-esfiltrazione, focalizzandosi su documenti Office e file di configurazione. La loro metodologia include sempre una fase di riconoscimento per identificare i repository documentali prima della raccolta massiva.

Lazarus Group mostra preferenza per tool custom che mirano specificamente a dati finanziari e sistemi SCADA. I loro malware incorporano funzionalità di parsing della memoria per estrarre dati di carte di credito direttamente dai processi POS, evidenziando obiettivi di monetizzazione diretta.

APT29 dimostra sofisticazione superiore, utilizzando tecniche di collection distribuite che frammentano la raccolta su più host per evadere soglie di detection. Durante SolarWinds, hanno estratto solo subset mirati di dati per minimizzare il rumore di rete.

I gruppi cinesi come APT1 e Threat Group-3390 mostrano pattern di raccolta vorace, spesso comprimendo intere directory di documenti tecnici e proprietà intellettuale. L'overlap nei tool utilizzati (China Chopper presente in 40% delle operazioni cinesi) suggerisce condivisione di risorse o training comune.

L'evoluzione tattica mostra trend verso l'uso di "living off the land": FIN7 è passato da tool custom a PowerShell nativo per la collection, rendendo l'attribuzione più complessa. Il timing della raccolta si sta spostando verso finestre di maintenance programmata per mimetizzarsi con backup legittimi.

Analisi basata su framework MITRE ATT&CK, dati di 43 gruppi APT documentati, intelligence da campagne SolarWinds Compromise, Operation Honeybee e Night Dragon. Metodologie di detection validate su 161 varianti malware. Riferimenti forensi da incident response reali.