Server Compromessi come Infrastruttura d'Attacco: Compromise Infrastructure – Server (T1584.004)

La simulazione di questa tecnica in un esercizio red team non richiede di compromettere server reali di terze parti — sarebbe illegale e fuori scope. L'obiettivo è replicare il profilo infrastrutturale che un server compromesso presenta al target: un host con reputazione legittima, certificato valido e servizi coerenti con il suo storico.

Il primo passo è configurare un server di laboratorio che mimi un sito aziendale compromesso. Utilizzando Nginx, si può servire un sito apparentemente innocuo che ospita un payload in una directory nascosta. La configurazione del virtual host deve includere un certificato TLS valido — in ambiente lab si può usare Certbot (open source) per generare certificati Let's Encrypt su un dominio di test controllato.

Per simulare lo scenario watering hole usato da gruppi come Indrik Spider (fake updates via siti legittimi) e Daggerfly (compromissione di server di aggiornamento software), si può configurare un redirect condizionale che serve il payload solo a determinati User-Agent o range IP:

if ($http_user_agent ~* "TargetApp") { return 302 /updates/legit-update.exe; }

Il framework Gophish (open source) è utile per replicare lo scenario phishing-via-server-compromesso: si configura il server C2 su un host che simula un mail server legittimo, esattamente come fece Sandworm Team compromettendo server Linux con EXIM.

Per il canale C2, Cobalt Strike (a pagamento) o Sliver (open source) possono essere configurati con un profilo malleable/HTTP che imita il traffico del sito legittimo ospitato sul server. Il listener va configurato sulla stessa porta 443 del sito, utilizzando i path del sito reale come URI per il beaconing.

La verifica dell'efficacia si esegue con strumenti di internet scanning. Utilizzando la CLI di Shodan (freemium) si può verificare se il proprio server di staging è distinguibile da un server legittimo:

shodan host <IP-del-server-lab>

Analogamente, Censys (freemium) permette di cercare pattern nei certificati o nei banner HTTP che potrebbero tradire la natura malevola del server. Questo passaggio è critico: se il red team riesce a distinguere il proprio server da uno legittimo, lo farà anche il blue team.

La detection diretta di questa tecnica è onestamente limitata: la compromissione avviene su server di terze parti, fuori dal perimetro di visibilità. L'unica fonte di detection indicata è Internet Scan, focalizzata sull'identificazione di pattern nei certificati, nelle negoziazioni TLS o nei servizi esposti. La strategia efficace è quindi la detection indiretta: intercettare i segnali quando l'infrastruttura compromessa viene usata contro la propria organizzazione.

Il primo livello di difesa è il monitoraggio DNS e del traffico web. Quando un server legittimo viene compromesso per ospitare C2 — come fatto da Volt Typhoon con server PRTG o da Leviathan con siti legittimi — il traffico verso quel server cambia pattern. Un beaconing regolare verso un sito con cui l'organizzazione non ha relazioni di business è un segnale forte.

Configurare un alert sul proxy o sul DNS resolver per connessioni ripetute a intervalli regolari verso host non categorizzati nei flussi aziendali. In Splunk, una query di partenza:

index=proxy dest_category!="business" | stats count dc(src) avg(interval) by dest | where count>50 AND avg(interval)<120

Il secondo livello riguarda i certificati TLS anomali. Un server compromesso potrebbe presentare un certificato in scadenza, un mismatch tra CN e dominio, o un certificato emesso da CA insolite. Strumenti come RITA (open source) analizzano il traffico di rete per identificare beaconing e connessioni C2 su canali cifrati.

Per lo scenario watering hole — tecnica usata da Dragonfly e Indrik Spider — il focus si sposta sugli eventi endpoint. Un utente visita un sito legittimo e il browser scarica contenuto malevolo: gli eventi EventCode 1 (process creation) di Sysmon che mostrano processi figli anomali del browser (powershell.exe, cmd.exe, mshta.exe) dopo la navigazione web sono il segnale più affidabile.

Sul versante email, poiché Sandworm Team ha compromesso mail server EXIM, monitorare i log di ricezione email per header anomali: un campo Received che mostra un MTA incoerente con il dominio mittente può indicare che il server è stato compromesso.

I falsi positivi principali derivano da CDN e siti con infrastruttura condivisa: un IP che oggi ospita un sito legittimo domani potrebbe essere riallocato. Correlare sempre con feed di threat intelligence tramite piattaforme come MISP (open source) per verificare se l'IP è già segnalato.

L'analisi forense di questa tecnica si concentra su due fronti: gli artefatti che l'infrastruttura compromessa lascia sull'endpoint vittima e le fonti OSINT esterne che permettono di ricostruire la timeline di compromissione del server.

Partiamo dagli artefatti endpoint. Quando il vettore d'ingresso è un watering hole — scenario documentato per Dragonfly e Indrik Spider — il browser lascia tracce ricche. La cache del browser (per Chrome, sotto %LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache) contiene i file scaricati dal sito compromesso, con timestamp di download. I database SQLite della cronologia e dei download forniscono URL esatti e orari.

Per ricostruire la catena, gli artefatti di esecuzione sono fondamentali. Prefetch (C:\Windows\Prefetch) registra l'esecuzione dei payload scaricati, con timestamp e percorsi dei file referenziati. Se il payload è stato servito come fake update — tecnica di Indrik Spider — il file potrebbe trovarsi in directory temporanee: %TEMP%, %APPDATA%, o nella cartella Downloads.

L'analisi delle connessioni di rete post-compromissione si avvale di Sysmon EventCode 3 (Network Connection) che registra l'IP e la porta di destinazione. Correlare questi IP con i server legittimi compromessi noti dalla threat intelligence. Volt Typhoon ha utilizzato server PRTG compromessi per C2: cercare connessioni verso porte tipiche di PRTG (80, 443, 8080) da processi non-browser è un indicatore prezioso.

Sul fronte delle fonti esterne, il servizio crt.sh permette di interrogare i Certificate Transparency logs per verificare i certificati emessi per il dominio del server sospetto. Certificati recenti, multipli o con SAN insoliti possono indicare che il server è stato manipolato. La query si esegue tramite l'API JSON del servizio, filtrando per dominio e ordinando per data di emissione.

I record WHOIS storici — accessibili tramite servizi come DomainTools (a pagamento) o il database di Whoxy (freemium) — rivelano se il dominio ha subito cambiamenti di registrazione anomali. Il passive DNS, consultabile tramite PassiveTotal (freemium) o VirusTotal (freemium), mostra la cronologia delle risoluzioni DNS: un server che improvvisamente risolve a un IP diverso merita approfondimento.

Per la timeline, l'ordine degli eventi tipico è: compromissione del server (visibile solo in fonti esterne) → staging del payload o configurazione C2 → contatto dalla vittima (artefatto endpoint) → esecuzione del payload → beaconing C2. Ogni passaggio deve essere corroborato da almeno due fonti indipendenti.

La compromissione di server di terze parti è una tecnica trasversale che accomuna attori con obiettivi e sofisticazione molto diversi. L'analisi dei 10 gruppi che la utilizzano rivela pattern operativi distinti e prevedibili.

Lazarus Group è il più documentato, con due campagne attribuite: Operation Sharpshooter (C0013, settembre 2017 – marzo 2019), che ha colpito aziende nucleari, della difesa e finanziarie in Germania, Turchia, Regno Unito e Stati Uniti, e Operation Dream Job (C0022, settembre 2019 – agosto 2020), focalizzata su difesa, aerospazio e governo in USA, Israele, Australia, Russia e India. In entrambi i casi Lazarus ha compromesso server per ospitare tool malevoli, combinando la tecnica con esche di finto recruiting lavorativo. Il pattern è chiaro: infrastruttura compromessa come supporto a campagne di spearphishing tematico.

Volt Typhoon rappresenta un caso peculiare: l'utilizzo specifico di server PRTG compromessi per C2 indica una preferenza per dispositivi di monitoraggio di rete — sistemi spesso esposti a Internet, raramente aggiornati e con credenziali deboli. Questo targeting infrastrutturale è coerente con il profilo di un attore che cerca persistenza silenziosa in reti di infrastrutture critiche.

Sandworm Team mostra un pattern distinto: la compromissione mirata di server Linux con EXIM, l'agente di mail transfer. Questo suggerisce la costruzione di infrastruttura per campagne di phishing su larga scala, dove il server email compromesso garantisce deliverability elevata grazie alla reputazione del dominio legittimo.

Daggerfly introduce un vettore particolarmente insidioso: la compromissione di web server che ospitano aggiornamenti software, trasformando la supply chain in vettore d'attacco. Questo modus operandi richiede una ricognizione preliminare approfondita e indica un livello di sofisticazione elevato.

Le campagne Outer Space (C0042, 2021) e Juicy Mix (C0044, 2022), entrambe condotte da OilRig contro organizzazioni israeliane, mostrano un'evoluzione tattica: nel primo caso è stato compromesso un sito HR, nel secondo un portale di lavoro. Il settore del recruiting online è chiaramente un target privilegiato per questo attore. La campagna Night Dragon (C0002, novembre 2009 – febbraio 2011) documenta invece l'uso di web server compromessi come C2 nel settore oil & gas, con attribuzione a un threat group basato in Cina.

Il trend emergente è la convergenza tra compromissione server e supply chain: da Daggerfly in poi, il server non è solo infrastruttura C2 ma diventa il meccanismo di distribuzione stesso. Per il prossimo trimestre, monitorare con attenzione i server che ospitano repository di aggiornamento software, CDN regionali e portali di servizi HR — tre categorie ricorrenti nei profili analizzati.

Framework MITRE ATT&CK: T1584.004, TA0042. Campagne: C0013 (Operation Sharpshooter), C0022 (Operation Dream Job), C0042 (Outer Space), C0044 (Juicy Mix), C0002 (Night Dragon). Tool di detection: RITA, Sysmon, MISP, Shodan, Censys. Integrato con conoscenza professionale per tool e procedure operative.