Scoperta Condivisioni di Rete: Network Share Discovery (T1135)

Il protocollo SMB rimane il vettore principale per questa tecnica su Windows. L'approccio classico utilizza i comandi nativi del sistema operativo, esattamente come fanno i threat actor reali.

Su Windows, il comando net view \\target-host enumera le condivisioni remote disponibili. Per un assessment completo, combinalo con net view /domain per identificare tutti i controller di dominio. Il comando net share invece mostra le condivisioni locali, utile per capire cosa espone il sistema compromesso.

PowerShell offre capacità più avanzate. Il cmdlet Get-SmbShare fornisce dettagli granulari sulle condivisioni locali, mentre (Get-WmiObject Win32_Share -ComputerName target).Name permette l'enumerazione remota via WMI. Per automatizzare la scoperta su multipli host:

1..254 | ForEach-Object {Get-WmiObject Win32_Share -ComputerName "192.168.1.$" -ErrorAction SilentlyContinue}_

Gli strumenti specializzati amplificano le capacità. CrackMapExec eccelle nell'enumerazione massiva: crackmapexec smb 192.168.1.0/24 --shares. Per Linux, smbclient -L //target-host -N elenca le condivisioni senza autenticazione, mentre enum4linux -S target-host fornisce un'enumerazione completa.

Su macOS, il comando nativo sharing -l mostra tutti i punti di condivisione SMB locali. Per l'enumerazione remota: smbutil view //guest@target-host.

La simulazione in laboratorio dovrebbe replicare il comportamento di Wizard Spider, che combina net view con successive operazioni di file listing. Crea uno script che enumera, filtra le condivisioni amministrative (C$, ADMIN$) e tenta l'accesso per identificare dati sensibili.

La detection efficace richiede correlazione tra eventi di processo e traffico di rete. Il pattern comportamentale chiave è l'esplosione di connessioni SMB verso molteplici host interni in una finestra temporale ristretta.

Monitora i processi che eseguono comandi di enumerazione. Su Windows, Sysmon EventID 1 cattura l'esecuzione di net.exe con parametri "view". La commandline contenente "net view" o "net share" dovrebbe triggerare un alert di severità media. Attenzione però agli script di inventory legittimi dell'IT.

Il vero indicatore ad alta fedeltà emerge dal traffico di rete. Configura la soglia su 5+ connessioni SMB uniche (porta 445/139) originate dallo stesso host in 10 minuti. Questo cattura il comportamento "spray" tipico dell'enumerazione massiva, distinguendolo dall'accesso normale a singole share.

L'analisi delle named pipe offre detection avanzata. Le connessioni a \host\IPC$ seguite da chiamate RPC srvsvc.NetShareEnumAll indicano enumerazione programmatica. Zeek può estrarre questi pattern dal traffico SMB con regole personalizzate.

Per ridurre i falsi positivi, crea una whitelist dei service account autorizzati. Gli scanner di vulnerabilità e i sistemi di configuration management generano pattern simili ma sono legittimi. Documenta gli IP di questi sistemi e gli account utilizzati.

Il tuning richiede adattamento all'ambiente. In reti piccole, anche 3 host unici potrebbero indicare scanning anomalo. In enterprise con migliaia di endpoint, alza la soglia a 10-15 host per ridurre il rumore mantenendo l'efficacia.

L'enumerazione delle share lascia tracce forensi distintive che permettono di ricostruire con precisione la progressione dell'attacco. Gli artefatti variano significativamente tra sistemi operativi e metodi utilizzati.

Su Windows, il Registro conserva evidenze chiave. La chiave HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares registra tutte le condivisioni locali con timestamp di creazione. Confronta questi dati con i backup per identificare share create dall'attaccante per staging o exfiltration.

I log di sicurezza Windows (EventID 5140) documentano ogni accesso a share di rete. Filtra per accessi multipli a share amministrative (C$, ADMIN$) da IP interni sospetti. La sequenza temporale di questi eventi rivela il pattern di movimento laterale dell'attaccante.

L'analisi della memoria può recuperare comandi non loggati. Cerca stringhe "net view" nel process memory dump di cmd.exe o powershell.exe. Tools come Volatility con il plugin cmdline estraggono l'history completa dei comandi eseguiti.

Per Linux, auditd registra le syscall associate all'enumerazione SMB. Le chiamate a connect() sulla porta 445 correlate con l'esecuzione di smbclient o mount.cifs indicano attività di scanning. Il file .bash_history degli account compromessi spesso contiene i comandi completi.

L'analisi del traffico di rete catturato fornisce il quadro completo. NetworkMiner estrae automaticamente tutte le share enumerate da PCAP files. Cerca pattern di "Tree Connect" SMB2 requests verso multiple condivisioni in rapida successione.

La ricostruzione della timeline deve integrare questi artefatti. Esempio da Operation CuckooBees: execution di net share (T+0) → connessioni IPC$ a 50 host (T+5min) → accesso a share con documenti R&D (T+15min) → staging su share temporanea (T+30min).

L'analisi dei pattern di enumerazione rivela significative differenze tra gruppi APT, permettendo attribution e predizione delle mosse successive.

APT32 mostra un approccio metodico focalizzato sulle share amministrative. Il loro uso esclusivo di net view per identificare C$ e ADMIN$ indica preparazione per tool di deployment massivo come PsExec. Dopo l'enumerazione, aspettati tentativi di lateral movement via SMB verso sistemi critici identificati.

Dragonfly presenta un pattern unico: l'enumerazione si concentra specificamente su share contenenti documentazione ICS/SCADA. Questo targeting mirato suggerisce intelligence gathering pre-posizionale per future operazioni disruptive su infrastrutture critiche. I file ".dwg" e ".dxf" (AutoCAD) sono prioritari nella loro ricerca.

Chimera combina net share locale con net view remoto, indicando un approccio dual-purpose: identificare dati locali per staging mentre mappa l'intera rete. Post-enumerazione, tendono a creare share temporanee per movimento dati tra segmenti di rete isolati.

FIN13 rappresenta l'evoluzione ransomware-focused. I loro net view commands sono immediatamente seguiti da deployment di encryptors sulle share identificate. Il tempo medio tra enumerazione e encryption: sotto 2 ore.

I tool utilizzati predicono le capacità. Gruppi che impiegano CrackMapExec (APT39) hanno tipicamente competenze offensive avanzate e automation capabilities. L'uso di Cobalt Strike (Operation CuckooBees) suggerisce infrastruttura C2 sofisticata e possibilità di persistenza long-term.

Tecnica documentata nel framework MITRE ATT&CK con evidenze da 16 gruppi APT attivi. Campagne Operation CuckooBees e Operation Wocao forniscono case studies dettagliati. Detection patterns validati su infrastrutture enterprise multi-OS.