Scansione delle Vulnerabilità: Active Scanning: Vulnerability Scanning (T1595.002)

Per replicare efficacemente le tecniche di scansione utilizzate dai threat actor, è fondamentale comprendere come questi operano in scenari reali. APT41 ha dimostrato l'uso di Acunetix per identificare vulnerabilità SQL injection, mentre JexBoss viene impiegato per scoprire falle nelle applicazioni Java. La combinazione di tool commerciali e open source riflette l'approccio ibrido degli attaccanti moderni.

Iniziamo con una scansione di base utilizzando Nmap per identificare servizi esposti:

nmap -sV -p- --version-intensity 9 target.domain

Per emulare l'approccio di Magic Hound, che ha condotto scansioni massive per Log4j, possiamo utilizzare:

nuclei -t cves/2021/CVE-2021-44228.yaml -l targets.txt

Gli attaccanti spesso combinano multiple tecniche. Ember Bear utilizza MASSCAN per scansioni rapide su larga scala:

masscan -p443,8443,10443 10.0.0.0/8 --rate=10000 -oJ results.json

La fase successiva prevede l'identificazione di vulnerabilità specifiche. Per replicare l'approccio di APT29 nella ricerca di sistemi vulnerabili:

python3 shodan_search.py --query "product:Exchange Server" --vulnerable

I gruppi più sofisticati come Winter Vivern utilizzano istanze remote di scanner commerciali. Per simulare questo comportamento in laboratorio:

docker run -d -p 8080:8080 acunetix/scanner
curl -X POST http://localhost:8080/api/v1/targets -d '{"address":"https://target.site"}'

L'automazione è cruciale per operazioni su larga scala. TeamTNT ha dimostrato capacità di scansione automatizzata verso API Docker esposte. Un approccio simile può essere replicato con script personalizzati che integrano múltiple fonti di intelligence per identificare target vulnerabili prima che le patch vengano applicate.

Il rilevamento delle scansioni di vulnerabilità richiede un approccio stratificato che bilanci sensibilità e precisione. Le scansioni aggressive generano pattern facilmente identificabili, ma gli attaccanti sofisticati utilizzano tecniche di evasione che richiedono detection più avanzate.

Il primo livello di detection si basa sul monitoraggio del traffico di rete. Configurare Zeek per catturare anomalie nel comportamento delle connessioni:

event connection_established(c: connection) {
    if (c$id$resp_p in vulnerable_ports && c$duration < 2sec)
        NOTICE([$note=Scan::Port_Scan, $conn=c]);
}

Per identificare scansioni di vulnerabilità web, l'analisi dei log HTTP è fondamentale. Suricata può essere configurata con regole personalizzate che identificano pattern comuni di scanner:

alert http any any -> any any (msg:"Potential Acunetix Scanner"; 
  http.user_agent; content:"Acunetix"; classtype:web-application-attack; sid:1000001;)

Earth Lusca e altri gruppi utilizzano tecniche di scansione distribuite per evadere il rilevamento. Il monitoraggio deve quindi correlare eventi da multiple sorgenti. Implementare detection basate su soglie dinamiche che si adattano al baseline del traffico normale riduce significativamente i falsi positivi.

L'integrazione con threat intelligence permette di identificare infrastrutture note di scansione. Quando Volatile Cedar conduce ricognizione, spesso utilizza VPS compromesse come proxy. Monitorare connessioni da ASN sospetti o IP con reputazione negativa aumenta l'efficacia della detection.

Per gestire l'alert fatigue, prioritizzare gli allarmi basandosi sul contesto. Scansioni verso sistemi critici o che identificano servizi vulnerabili noti richiedono risposta immediata. Implementare playbook automatizzati che raccolgono context aggiuntivo prima di escalare al personale.

La ricostruzione forense delle attività di scansione richiede l'analisi di molteplici artefatti che spesso vengono trascurati. Le scansioni lasciano tracce distintive nei log di rete, ma anche negli endpoint target.

Su sistemi Windows, l'Event ID 4625 (failed logon) può indicare tentativi di autenticazione durante scansioni di servizi. Correlando questi eventi con i log del firewall si può ricostruire il pattern temporale:

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4625} | 
  Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-24)}

Per sistemi Linux, l'analisi di /var/log/auth.log rivela tentativi di connessione SSH anomali. Dragonfly ha dimostrato particolare interesse per servizi Citrix e Exchange, lasciando tracce caratteristiche nei log di accesso.

La correlazione temporale è critica. Durante l'analisi della campagna Cutting Edge, i forensic analyst hanno identificato che le scansioni iniziali precedevano l'exploitation di 3-5 giorni. Questo pattern temporale si ripete in molte operazioni APT.

Gli artefatti di rete forniscono la visione più completa. L'analisi dei PCAP catturati durante l'incidente può rivelare:

• User-agent anomali utilizzati dagli scanner
• Pattern di connessione che indicano scansioni automatizzate
• Payload specifici che tentano di triggare vulnerabilità note

La timeline reconstruction deve considerare anche le scansioni "failed". Aquatic Panda ha utilizzato servizi DNS pubblici per identificare server vulnerabili a Log4j, una tecnica che lascia tracce minime sui sistemi target ma è visibile nell'infrastruttura DNS.

Per casi complessi, l'analisi della memoria può rivelare processi di scansione attivi. Volatility framework permette di identificare connessioni di rete anomale e processi sospetti che potrebbero essere scanner in esecuzione.

L'analisi dei pattern di scansione fornisce insight cruciali sulle capacità e gli obiettivi dei threat actor. APT28 dimostra preferenza per scansioni massive e aggressive, indicando risorse significative e minor preoccupazione per la detection. Questo gruppo russo del GRU ha condotto scansioni su larga scala targeting infrastrutture governative e militari NATO.

APT29, attribuito all'SVR russo, adotta un approccio più mirato e stealth. Le loro scansioni si concentrano su specifiche vulnerabilità zero-day o recently disclosed, suggerendo accesso a intelligence avanzata sulle vulnerabilità. Durante la campagna SolarWinds, le scansioni iniziali erano chirurgicamente mirate a identificare ambienti specifici.

Sandworm Team, altro gruppo GRU ma dall'unità 74455, combina scansioni con obiettivi distruttivi. La loro ricognizione spesso precede attacchi wiper o ransomware, come dimostrato con NotPetya. Il profilo temporale delle loro operazioni mostra picchi di attività correlati a tensioni geopolitiche.

I gruppi iraniani come Magic Hound mostrano pattern distintivi. Conducono scansioni opportunistiche per vulnerabilità publicly disclosed, spesso entro ore dalla pubblicazione di PoC. Hanno dimostrato particolare interesse per vulnerabilità in Exchange, VPN e sistemi web-facing.

APT41 rappresenta un caso unico di gruppo che combina operazioni state-sponsored con attività criminali. Le loro scansioni riflettono questa dualità: ricognizione mirata per obiettivi governativi e scansioni massive per identificare vittime di ransomware.

L'evoluzione delle TTP di scansione indica trend futuri. L'adozione di scanner commerciali hosted su cloud suggerisce maggiore professionalizzazione. L'uso di servizi legittimi come Shodan o Censys per pre-scanning reconnaissance diventerà probabilmente standard.

Framework MITRE ATT&CK T1595.002 - Active Scanning: Vulnerability Scanning documenta questa tecnica di reconnaissance utilizzata da 13 gruppi APT. Le campagne Cutting Edge e SharePoint ToolShell Exploitation forniscono casi studio recenti dell'impatto di scansioni mirate che precedono compromise su larga scala.