Manipolazione dei Dati Archiviati: Stored Data Manipulation (T1565.001)

La simulazione di questa tecnica in laboratorio richiede di toccare due scenari distinti: la manipolazione di file su filesystem e la modifica diretta di record in un database. L'obiettivo è verificare che i controlli di integrità e le regole di detection del cliente reagiscano correttamente.

Scenario 1 — Modifica silenziosa di file business-critical. Il concetto alla base è semplice: un attaccante che ha già una shell modifica un documento senza alterarne i metadati temporali per sfuggire a controlli superficiali. Su Windows, dopo aver modificato un file Excel o un archivio, si possono reimpostare i timestamp con PowerShell:

$(Get-Item "C:\Finance\report.xlsx").LastWriteTime = "2025-01-15 08:30:00"

Su Linux l'equivalente passa dal classico touch:

touch -t 202501150830.00 /var/data/report.xlsx

Atomic Red Team (open source) offre il test T1565.001 che automatizza questo flusso. Eseguilo con il runner Invoke-AtomicTest di AtomicRedTeam per PowerShell:

Invoke-AtomicTest T1565.001

Scenario 2 — Manipolazione di record in database. Per replicare lo scenario APT38/DYEPACK, predisponi un'istanza MySQL di laboratorio con una tabella che simuli transazioni SWIFT. Poi, da una shell compromessa, altera i record direttamente:

mysql -u compromised_user -p -e "UPDATE transactions SET amount=0.01 WHERE id=4482;" swift_lab

Il punto non è la complessità del comando SQL, ma dimostrare che il SOC rileva un processo non autorizzato che interagisce con i file del database. Verifica che il tuo agent Sysmon (open source) registri l'accesso ai file .ibd o .frm da parte di un processo diverso da mysqld.

Scenario 3 — Supply chain source code injection. Per replicare il pattern SUNSPOT, crea in lab una directory che simuli un progetto con build automatica. Lo script dovrebbe: fare un backup del file sorgente originale con estensione .bk, scrivere un file malevolo con estensione .tmp, poi rinominarlo con estensione .cs tramite la funzione MoveFileEx. Caldera (open source) permette di orchestrare questa sequenza come ability personalizzata nel suo framework.

Monitora con Procmon (gratuito, Sysinternals) le operazioni CreateFile, SetRenameInformationFile e CloseFile sulla directory target: il SOC deve vedere esattamente questa catena.

La sfida principale è distinguere le modifiche lecite ai dati — un utente che aggiorna un foglio di calcolo, un processo di backup che riscrive un archivio — da una manipolazione dolosa. Serve un approccio a strati che combini file integrity monitoring, correlazione di eventi e whitelisting di processo.

Log source primari. Su Windows configura Sysmon con regole focalizzate sugli EventCode 11 (FileCreate), 23 (FileDelete) e 2 (FileCreationTimeChange). Quest'ultimo è fondamentale: il cambio di timestamp su file in directory sensibili è un segnale forte di anti-forensics. Le regole vanno parametrizzate sulle directory critiche dell'organizzazione — cartelle di database, archivi di posta, repository di codice sorgente.

Su Linux, auditd è il pilastro. Crea watch rule sulle directory dove risiedono i dati business:

-w /var/lib/mysql/ -p wa -k stored_data_manip -w /var/mail/ -p wa -k stored_data_manip

Il flag -p wa cattura scritture e modifiche di attributi, mentre la chiave -k permette di filtrare rapidamente nel SIEM. Su macOS, gli FSEvents e i log unificati coprono lo stesso ruolo; osquery (open source) consente query periodiche sull'integrità dei file tramite la tabella file.

Logica di correlazione. L'alert più efficace non è il singolo evento, ma la correlazione: un processo che non appartiene alla whitelist degli editor autorizzati (parametro AuthorizedProcesses nella detection) modifica un file in una directory monitorata entro una finestra temporale breve. Se lo stesso processo esegue anche una sequenza backup-rinomina-sostituzione — il pattern SUNSPOT — l'alert deve scalare immediatamente a severità critica.

Gestione dei falsi positivi. I tre parametri di tuning forniti sono essenziali per la messa a punto: MonitoredDirectories per circoscrivere il perimetro, AuthorizedProcesses per escludere i processi leciti, TimeWindow per regolare la sensibilità della correlazione. In fase di deploy iniziale, esegui la regola in modalità passiva per almeno due settimane, raccogliendo i processi che generano falsi positivi, prima di passare all'enforcement.

Per la componente preventiva, strumenti di File Integrity Monitoring come Wazuh (open source) o OSSEC (open source) forniscono alerting near-real-time sulle modifiche ai file critici, confrontando hash e metadati con una baseline nota.

Quando si sospetta una manipolazione di dati archiviati, l'obiettivo dell'analisi forense è duplice: determinare cosa è stato alterato e ricostruire la sequenza temporale dell'intervento. La difficoltà risiede nel fatto che un attaccante sofisticato tende a cancellare le proprie tracce o a mascherare i timestamp.

Artefatti filesystem Windows. La prima fonte è il journal NTFS $UsnJrnl, che registra ogni modifica ai file su volume NTFS indipendentemente dai permessi dell'utente. Con MFTECmd (open source, di Eric Zimmerman) puoi parsare sia la Master File Table che il journal:

MFTECmd.exe -f C:$MFT --csv C:\output\ --csvf mft_parsed.csv

Filtra per le directory critiche e cerca sequenze sospette: creazione di file con estensione .bk o .tmp seguita da operazioni di rinomina — esattamente il pattern documentato per SUNSPOT, che creava la copia backup .bk, scriveva il payload come .tmp, e poi lo spostava con MoveFileEx all'estensione .cs. Nel journal queste operazioni appaiono come eventi FileCreate → RenameNewName in rapida successione sullo stesso path.

I log Sysmon, se erano attivi al momento dell'intrusione, forniscono il collegamento tra processo e operazione file. L'EventCode 2 rivela i tentativi di timestomping; l'EventCode 11 e il 23 coprono rispettivamente creazioni e cancellazioni.

Artefatti filesystem Linux. Se auditd era configurato con watch sulle directory critiche, i record SYSCALL nel log di audit contengono il PID, il path completo e la syscall utilizzata (openat, rename, unlink). Usa ausearch per filtrare:

ausearch -k stored_data_manip -ts recent

Per il caso MultiLayer Wiper, che altera deliberatamente le informazioni di path originale dei file cancellati per ostacolare il recovery, l'analisi del filesystem con Sleuth Kit (open source) è cruciale. Usa fls per elencare i file cancellati e icat per recuperare i contenuti residui, confrontando i path registrati nelle strutture di directory con quelli nei metadati dei file — discrepanze indicano manipolazione post-cancellazione.

Timeline integrata. La ricostruzione converge in una super-timeline. Plaso/log2timeline (open source) aggrega journal NTFS, log Sysmon, log di audit Linux e log applicativi di database in un unico flusso cronologico. Ordina per timestamp e cerca cluster anomali: più operazioni di modifica o cancellazione in directory business-critical concentrate in pochi minuti, specialmente fuori orario lavorativo, rappresentano un indicatore ad alta confidenza.

Per i database, estrai i log delle transazioni (binary log MySQL, WAL PostgreSQL) e confrontali con le modifiche rilevate a livello filesystem: se un record è stato alterato ma il log applicativo non mostra la query corrispondente — o mostra una query eseguita da un utente di servizio compromesso — hai la conferma della manipolazione.

L'ecosistema threat associato a T1565.001 è ristretto ma estremamente significativo, con attori che operano su obiettivi ad altissimo valore e due malware che rappresentano paradigmi diversi di manipolazione dati.

APT38 è il gruppo finanziariamente motivato collegato alla Corea del Nord, specializzato in attacchi contro il sistema interbancario SWIFT. Il loro strumento chiave in questo contesto è DYEPACK, un malware progettato specificamente per creare, eliminare e alterare record nei database delle transazioni SWIFT. Il modus operandi è chirurgico: APT38 non distrugge l'infrastruttura, ma modifica silenziosamente i dati transazionali per dirottare fondi, contando sul fatto che i sistemi di riconciliazione bancaria non rilevino le discrepanze in tempo utile. Questo profilo implica campagne di lunga durata con ricognizione approfondita dei processi interni della vittima prima della manipolazione.

Sul versante supply chain, SUNSPOT rappresenta un caso studio nella manipolazione di dati a riposo di tipo completamente diverso. Il malware operava modificando il codice sorgente durante il processo di build — una manipolazione dei dati archiviati nel repository che ha permesso l'inserimento della backdoor SUNBURST nel software SolarWinds Orion. La tecnica di backup-sostituzione (.bk → .tmp → .cs) dimostra un livello di sofisticazione che richiede conoscenza intima del processo di compilazione del target.

MultiLayer Wiper aggiunge una terza dimensione: la manipolazione come strumento anti-forense. Alterando le informazioni di path originale dei file eliminati, il malware non punta a un vantaggio economico o a un accesso persistente, ma a rendere impossibile il recovery e l'analisi post-incidente. Questo pattern è tipico di operazioni distruttive dove l'obiettivo è massimizzare il danno e minimizzare la capacità di risposta.

Pattern predittivi. Gli analisti TI dovrebbero monitorare due direttrici: la convergenza tra manipolazione dati e supply chain compromise — il modello SUNSPOT potrebbe essere replicato contro altri sistemi di build software — e l'evoluzione delle tecniche anti-forensic integrate nel wiper, dove la corruzione dei metadati filesystem è un trend in crescita. Le organizzazioni nel settore finanziario e nello sviluppo software restano i target primari per questa tecnica.

Framework MITRE ATT&CK v16 — T1565.001 (Stored Data Manipulation), TA0040 (Impact). Gruppi: G0082. Software: S0562, S1135. Mitigazioni: M1022, M1029, M1041. Detection: DET0193, AN0555, AN0556, AN0557. Integrato con conoscenza professionale per tool e procedure operative.