Movimento Laterale via SMB: SMB/Windows Admin Shares (T1021.002)

La simulazione del lateral movement via admin share è uno dei test fondamentali in ogni assessment interno. L'obiettivo è verificare se un attaccante con credenziali privilegiate — ottenute tramite credential dumping, Kerberoasting o password spraying — riesce a muoversi liberamente tra gli host.

Il punto di partenza più immediato è il comando nativo Windows. Dall'host compromesso, un red teamer può mappare la share amministrativa del target:

net use \\TARGET\ADMIN$ /user:DOMINIO\utente password

Se la connessione riesce, copiare un payload diventa banale:

copy implant.exe \\TARGET\ADMIN$\Temp\

Questa è esattamente la sequenza usata da gruppi come APT3, Orangeworm e Sandworm Team nelle loro operazioni reali. Per l'esecuzione remota del payload copiato, PsExec (a pagamento come parte di Sysinternals, ma distribuito gratuitamente da Microsoft) resta lo strumento di riferimento:

psexec.exe \\TARGET -accepteula -s cmd.exe /c C:\Windows\Temp\implant.exe

Il flag -s esegue il processo come SYSTEM, simulando il comportamento documentato per NotPetya e Olympic Destroyer, entrambi basati su PsExec per la propagazione via ADMIN$.

Su piattaforme Linux, la suite Impacket (open source) offre alternative potenti. Il modulo smbexec.py — usato nelle campagne di FIN8, Cinnamon Tempest e durante Operation Wocao — crea un servizio temporaneo sul target:

python3 smbexec.py DOMINIO/utente:password@TARGET

Per scenari Pass the Hash, dove si dispone solo dell'hash NTLM:

python3 psexec.py -hashes :HASH_NTLM DOMINIO/utente@TARGET

Un altro modulo utile è smbclient.py per enumerare e interagire con le share senza esecuzione:

python3 smbclient.py DOMINIO/utente:password@TARGET

CrackMapExec (open source), ora rinominato NetExec (open source), consente di testare la propagazione su scala. Per verificare l'accesso admin su un'intera subnet:

nxc smb 192.168.1.0/24 -u utente -p password --shares

Il flag --shares enumera le condivisioni accessibili, identificando immediatamente gli host dove l'attaccante potrebbe muoversi. Per simulare la copia ed esecuzione di un payload, si può aggiungere il flag --exec-method smbexec con il comando desiderato.

Durante il test, documentate ogni hop laterale con timestamp, credenziali usate e share target. Questo permette al blue team di correlare i propri alert con la vostra attività e calibrare la detection.

La detection del lateral movement via SMB richiede una strategia multi-layer che correli l'accesso alla share con l'esecuzione remota che ne consegue. Un singolo evento di connessione a C$ non è sufficiente: gli amministratori legittimi usano queste share quotidianamente. La chiave è il contesto temporale e comportamentale.

La detection raccomandata — DET0530 (Multi-Event Detection for SMB Admin Share Lateral Movement) — si basa proprio su questo principio: un accesso a share amministrativa (C$, ADMIN$, IPC$) seguito entro una finestra di 5-10 minuti da un'azione di esecuzione remota sul target (creazione di servizi, scheduling di task, avvio di processi sospetti).

Le log source primarie sono due. Nei Windows Security Event Log, l'EventCode 5140 registra ogni accesso a una network share, incluso il nome della share e l'account utilizzato. L'EventCode 5145 è ancora più granulare: traccia i singoli tentativi di accesso a oggetti specifici dentro la share, permettendo di identificare la copia di file eseguibili. Sul lato Sysmon, l'EventCode 3 (Network Connection) cattura le connessioni in uscita verso la porta 445/TCP, mentre l'EventCode 1 (Process Creation) sul target registra i processi generati dall'esecuzione remota.

La correlazione tra questi eventi è il cuore dell'alert. Un flusso tipicamente malevolo appare così: EventCode 5140 con ShareName contenente ADMIN$ o C$, proveniente da un account che non compare nella baseline degli amministratori remoti, seguito da un EventCode 7045 (installazione di nuovo servizio) o EventCode 4698 (creazione di scheduled task) sul sistema target.

Per ridurre i falsi positivi, il tuning deve concentrarsi su tre dimensioni:

• User Context: mantenere una whitelist di account autorizzati all'amministrazione remota e generare alert solo per accessi da utenti "first-seen" o non presenti nella lista
• Process List: monitorare l'esecuzione post-copia di binari specifici come cmd.exe, powershell.exe, mshta.exe, rundll32.exe sul target
• Orari e pattern: gli admin legittimi operano in fasce orarie prevedibili; accessi a ADMIN$ alle 3 di notte da un account mai visto meritano escalation immediata

Come controllo preventivo, la disabilitazione del protocollo SMBv1 elimina un'ampia superficie d'attacco (EternalBlue e varianti), mentre la segmentazione di rete tramite firewall host-based che limiti il traffico sulla porta 445 ai soli flussi autorizzati riduce drasticamente le possibilità di propagazione. Strumenti come Windows Firewall con Advanced Security o soluzioni ZTNA permettono di implementare queste restrizioni in modo granulare.

Ricostruire il movimento laterale via SMB è spesso il compito più critico di un'indagine post-compromissione, perché ogni hop rappresenta un nuovo host da analizzare e una potenziale espansione del perimetro compromesso. La buona notizia è che SMB lascia artefatti abbondanti, sia sul sistema sorgente sia sul target.

Sul sistema sorgente — quello da cui parte il movimento — l'artefatto principale è la chiave di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2, che registra le share di rete montate. Ogni entry contiene il percorso UNC del target, permettendo di mappare le connessioni effettuate dall'attaccante. I file ShellBags arricchiscono questa informazione con timestamp di primo e ultimo accesso a cartelle remote navigate tramite Explorer — il metodo esatto usato da Blue Mockingbird per copiare manualmente i propri file.

Lo Windows Security Event Log del target è la fonte più ricca. L'EventCode 4624 con Logon Type 3 (Network Logon) documenta ogni autenticazione via SMB, inclusi account sorgente, indirizzo IP di origine e timestamp preciso. L'EventCode 5140 conferma la share acceduta. Quando l'attaccante utilizza Pass the Hash, il campo AuthenticationPackage mostra NTLM anziché Kerberos — un indicatore importante da correlare con il tipo di credenziali compromesse.

Sul filesystem del target, i percorsi *C:\Windows* e *C:\Windows\Temp* sono le directory di destinazione più comuni per payload copiati via ADMIN$. L'analisi delle $MFT e dei $UsnJrnl con tool come MFTECmd (open source, parte della suite di Eric Zimmerman) rivela la creazione di file in queste directory con timestamp che si correlano agli eventi di logon. Anche le Prefetch file del target — analizzabili con PECmd (open source) — documentano l'esecuzione dei binari copiati, fornendo il timestamp di prima e ultima esecuzione e il numero di run.

Per campagne che utilizzano PsExec — come quelle di BlackEnergy, NotPetya e Olympic Destroyer — un artefatto specifico è il servizio PSEXESVC registrato in SYSTEM\CurrentControlSet\Services. Anche dopo la rimozione, i log EventCode 7045 conservano la traccia dell'installazione. Il malware HermeticWizard lascia un pattern diverso: l'uso di credenziali hardcoded con autenticazione NTLMSSP genera una sequenza anomala di EventCode 4625 (logon falliti) seguiti da EventCode 4624 su host diversi nella stessa subnet, ricostruibile con timeline KAPE (open source) o Plaso (open source).

La timeline finale dovrebbe mostrare la catena: credenziale compromessa → logon di rete → accesso a share → copia file → esecuzione. Ogni hop aggiunge un nodo al grafo del movimento laterale.

Il panorama di 26 gruppi che sfruttano le admin share SMB copre l'intero spettro delle minacce: spionaggio statale, crimine finanziario, operazioni distruttive e ransomware. Analizzare i pattern d'uso permette di identificare cluster operativi e anticipare le catene d'attacco.

Sandworm Team rappresenta il paradigma dell'attore distruttivo. Durante la campagna 2016 Ukraine Electric Power Attack (C0025), il gruppo ha combinato net use con la copia di payload sulla share ADMIN$ per propagare Industroyer attraverso le sottostazioni elettriche. Questo pattern — credenziali valide + admin share + esecuzione di wiper/malware ICS — è un indicatore di operazioni con obiettivo di sabotaggio infrastrutturale. Lo stesso schema riappare nella campagna HomeLand Justice (C0038), dove attori iraniani hanno usato SMB per il movimento laterale durante i 14 mesi di persistenza precedenti l'attacco distruttivo contro le reti governative albanesi.

APT29 dimostra un approccio più chirurgico. Durante la SolarWinds Compromise (C0024), il gruppo ha utilizzato account amministrativi per connettersi via SMB a utenti specifici, integrando il lateral movement nella fase di raccolta dati post-supply chain compromise. La combinazione supply chain + SMB laterale è un pattern da monitorare per organizzazioni nella catena di fornitura tecnologica.

APT28 ha mostrato un'innovazione tattica significativa nella Nearest Neighbor Campaign (C0051): sfruttando reti Wi-Fi di organizzazioni fisicamente vicine al target, il gruppo ha concatenato compromissioni multiple prima di usare SMB per trasferire file e muoversi lateralmente nell'ambiente vittima. Questo approccio — accesso iniziale via prossimità fisica, propagazione via SMB — evidenzia come anche tecniche mature come l'abuso delle admin share vengano combinate con vettori non convenzionali.

Sul fronte ransomware, Wizard Spider e BlackByte rappresentano due modelli distinti. Wizard Spider usa SMB per depositare Cobalt Strike Beacon sui domain controller, privilegiando il controllo centralizzato prima dell'encryption. BlackByte ha adottato un modello "wormable", distribuendo payload ransomware via file share SMB in modo semi-automatico — un pattern condiviso con Conti, Emotet, Ryuk e le varianti LockBit 2.0 e LockBit 3.0. Il software RansomHub porta questa automazione al livello successivo, con credenziali per il movimento laterale SMBv2 integrate direttamente nella configurazione del payload.

Le campagne di cyber-spionaggio cinese meritano un cluster dedicato. APT41, Aquatic Panda, Ke3chang, Deep Panda e Velvet Ant usano tutti SMB per il lateral movement, ma con sfumature: APT41 combina admin share con WMI per l'esecuzione, mentre durante Operation Wocao (C0014) — attribuita ad attori possibilmente sovrapposti ad APT20 — gli operatori hanno preferito smbexec.py di Impacket per interagire con C$ e IPC$. Anche Cutting Edge (C0029), condotta da attori China-nexus, ha integrato SMB con credenziali compromesse dopo l'exploitation iniziale di vulnerabilità zero-day su appliance VPN Ivanti.

Il trend emergente è chiaro: SMB resta un pilastro operativo universale, ma gli attori più sofisticati lo combinano con vettori iniziali sempre più creativi — supply chain, zero-day su appliance perimetrali, prossimità fisica Wi-Fi — rendendo la detection del lateral movement via admin share un controllo irrinunciabile indipendentemente dal profilo di minaccia.

Framework MITRE ATT&CK: T1021.002 (SMB/Windows Admin Shares), TA0008 (Lateral Movement). Campagne: C0049, C0024, C0014, C0048, C0038, C0029, C0051, C0025. Detection: DET0530 (Multi-Event Detection for SMB Admin Share Lateral Movement). Mitigazioni: M1026, M1035, M1037, M1027. Integrato con conoscenza professionale per tool e procedure operative.