Saccheggio Database: Data Collection - Databases (T1213.006)

L'emulazione di questa tecnica richiede prima l'identificazione dei database target. Su Windows, inizia con la ricerca di istanze SQL Server utilizzando sqlcmd -L per scoprire server nella rete locale. Una volta identificato il target, puoi connetterti con sqlcmd -S server\instance -E per autenticazione Windows integrata.

Per MySQL su Linux, il processo inizia con mysql -h target_host -u root -p seguito dall'enumerazione dei database disponibili tramite SHOW DATABASES;. L'estrazione massiva si realizza con mysqldump --all-databases > backup.sql, creando un dump completo del sistema.

MongoDB richiede un approccio diverso. Utilizza mongodump --host target:27017 --out /tmp/mongo_backup per esportare l'intero contenuto. Per database cloud come Firebase, gli attori spesso abusano delle API REST con richieste curl mirate agli endpoint esposti.

Il tool P.A.S. Webshell dimostra come gli attaccanti integrino capacità di estrazione database direttamente nelle loro backdoor. Questo approccio elimina la necessità di trasferire tool aggiuntivi sul sistema compromesso.

Per simulare l'approccio di APT41, che ha utilizzato SQLULDR2 contro database Oracle, puoi replicare l'estrazione con: sqluldr2 user=scott/tiger@orcl query="select * from emp" file=emp.csv

L'automazione è cruciale per operazioni su larga scala. Script PowerShell possono iterare attraverso server multipli, mentre Python con librerie come psycopg2 o pymongo permette estrazione programmatica cross-platform.

La detection efficace richiede correlazione multi-sorgente. Il pattern DET0242 identifica accessi database anomali correlando l'esecuzione di client CLI con scritture su file e trasferimenti esterni. Su Windows, monitora processi come sqlcmd.exe o isql.exe lanciati da parent process inusuali tramite Sysmon EventID 1.

L'analisi comportamentale deve considerare il contesto temporale. Query eseguite fuori orario lavorativo da account non amministrativi generano alert ad alta priorità. Implementa baseline per volume di query per utente, flaggando deviazioni superiori al 300%.

Per ambienti cloud, correla CloudTrail con VPC Flow Logs. Pattern sospetti includono: VM effimere che eseguono query massive, trasferimenti cross-region di backup S3, accessi da IP geograficamente anomali. Leviathan ha dimostrato come query prolungate contro server SQL possano passare inosservate senza correlazione temporale.

I falsi positivi derivano principalmente da job ETL legittimi. Crea whitelist basate su: account di servizio noti, finestre temporali di manutenzione, pattern di query ricorrenti. Il tuning parameter [BaselineQueryTemplates] permette di escludere hash di query BI standard.

Per database SaaS come Snowflake, monitora export massicci tramite audit log nativi. Alert su: nuovi template di query mai visti, export superiori a 1GB, accessi da nuove applicazioni OAuth. La detection AN0680 evidenzia come correlando orari anomali con volumi di export si identifichino compromissioni in corso.

L'analisi forense di attività database richiede correlazione tra artefatti di sistema e log applicativi. Su Windows, esamina C:\Users[username]\AppData\Local\Temp per file .sql, .csv o .bak creati durante l'estrazione. Il registro contiene tracce ODBC in HKLM\SOFTWARE\ODBC\ODBC.INI che rivelano connessioni recenti.

I log di audit database sono fondamentali. MySQL general_log registra ogni query eseguita, mentre PostgreSQL con log_statement='all' cattura comandi completi. Cerca pattern come SELECT * FROM, query su information_schema, o export massicci indicativi di reconnaissance ed estrazione.

La campagna APT41 DUST ha lasciato tracce distintive: creazione di file SQLULDR2 in directory temporanee, followed by compressione ZIP e upload a server C2. La timeline mostra tipicamente: reconnaissance (1-2 ore), estrazione (2-4 ore), staging (30 minuti), esfiltrazioni (variabile).

Su Linux, auditd cattura syscall per mysql e psql. Eventi SYSCALL con exe="/usr/bin/mysql" correlati a PATH per file di output ricostruiscono l'intera sessione di estrazione. Network forensics rivela connessioni database su porte non standard, indicative di backdoor database.

Per ambienti cloud, CloudTrail preserva ogni API call. Cerca GetItem/Query su DynamoDB, SELECT su Redshift, o export BigQuery. La persistenza temporale di questi log (90+ giorni) permette ricostruzione anche di intrusioni datate. Sea Turtle ha dimostrato come tool web-based come Adminer lascino tracce HTTP distintive nei log di accesso web.

Turla utilizza tool .NET custom per targeting database interni centralizzati, indicando capacità di sviluppo avanzate e intelligence preliminare sulla struttura IT target. Questo gruppo russo predilige persistenza long-term e movimento laterale metodico prima dell'estrazione.

Sandworm Team, anch'esso russo, adopera Adminer per semplicità ed efficacia. La scelta di tool web-based suggerisce preferenza per soluzioni che non richiedano installazione locale, riducendo l'impronta forense. Target primari includono infrastrutture critiche dell'Est Europa.

FIN6 focalizza su dati finanziari, specificamente schemi database e account SQL Server. Questo gruppo criminale monetizza rapidamente i dati estratti, vendendo PII e carte di credito nei mercati underground entro 48-72 ore dall'estrazione.

Sea Turtle, probabilmente state-sponsored medio-orientale, combina Adminer con campagne DNS hijacking. Il targeting di provider telecom e ISP suggerisce obiettivi di sorveglianza massiva piuttosto che gain finanziario diretto.

L'overlap di tool come Adminer tra Sandworm e Sea Turtle non implica collaborazione ma convergenza su soluzioni efficaci. Il trend mostra spostamento verso tool web-based e living-off-the-land, con maggiore targeting di database cloud. Prevedi incremento di attacchi a Snowflake e BigQuery data la loro adozione enterprise crescente.

Framework MITRE ATT&CK documenta questa tecnica con evidenze da campagne APT41 DUST e Leviathan Australian Intrusions. Riferimenti includono strumenti come SQLULDR2, Adminer, e pattern di detection cross-platform per ambienti on-premise e cloud.