Controllo Remoto via VNC: Remote Services – VNC (T1021.005)

La simulazione di un lateral movement via VNC in laboratorio si articola in tre fasi: scoperta del servizio, accesso (legittimo o forzato) e post-exploitation.

Fase 1 — Enumerazione. Il primo passo è individuare server VNC esposti nella rete interna. Nmap (open source) offre script NSE dedicati:

nmap -sV -p 5900-5910 --script vnc-info,vnc-brute 192.168.1.0/24

Lo script vnc-info estrae la versione del protocollo RFB e il metodo di autenticazione, mentre vnc-brute tenta un attacco dizionario contro il servizio. Per reti estese, Masscan (open source) è più veloce nella scansione iniziale:

masscan 10.0.0.0/8 -p5900 --rate 10000 -oL vnc_hosts.txt

Fase 2 — Accesso e brute force. Se il servizio richiede solo password VNC (senza autenticazione di sistema), Hydra (open source) è lo strumento d'elezione:

hydra -P /usr/share/wordlists/rockyou.txt vnc://192.168.1.50 -t 4 -V

Il flag -t 4 limita i thread paralleli per evitare lockout. In alternativa, Metasploit Framework (open source) fornisce il modulo auxiliary/scanner/vnc/vnc_login che gestisce automaticamente le diverse versioni del protocollo RFB e supporta sia credenziali VNC-only che combinazioni utente/password.

Fase 3 — Interazione e pivoting. Una volta ottenute le credenziali, la connessione si stabilisce con qualunque client VNC. In ambiente red team, si preferisce operare da linea di comando per ridurre la superficie visibile. Su Linux, il client vncviewer del pacchetto TigerVNC (open source) permette connessioni rapide:

vncviewer 192.168.1.50::5900

Per simulare lo scenario di un malware che installa un server VNC silenzioso — come fanno FIN7 e Fox Kitten con TightVNC — si può deployare TightVNC (open source) in modalità silenziosa tramite il suo installer MSI con parametri msiexec, configurandolo per accettare connessioni solo dall'IP dell'attaccante.

Un passaggio spesso trascurato è la verifica della cifratura: molte implementazioni VNC trasmettono il traffico in chiaro. Per simulare un attacco man-in-the-middle, Wireshark (open source) cattura e decodifica il traffico RFB sulla porta 5900, rendendo visibili screenshot e sequenze di tasti.

La detection del lateral movement via VNC richiede la correlazione di tre segnali: processo VNC, connessione di rete e attività di sessione interattiva. Trattandosi di software legittimo in molti ambienti, la sfida principale è la riduzione dei falsi positivi.

Sorgenti log e artefatti chiave. Su Windows, Sysmon è la colonna portante. L'EventCode 1 (Process Create) intercetta l'avvio di binari VNC — i nomi da tracciare includono vncserver.exe, winvnc.exe, tvnserver.exe e vncviewer.exe. L'EventCode 3 (Network Connection) cattura le connessioni in uscita o in ascolto sulle porte 5900-5910 e 5500. La correlazione temporale tra questi due eventi, entro una finestra di 30-60 secondi, costituisce il primo alert affidabile.

Sul versante autenticazione, i log Security di Windows con EventCode 4624 (Logon Type 10, Remote Interactive) forniscono il contesto: se un logon interattivo remoto coincide con un processo VNC, la probabilità di lateral movement sale notevolmente.

Su Linux, la combinazione tra auditd configurato per intercettare le syscall execve dei processi x11vnc e vncserver, e il monitoraggio dei socket in ascolto sulla porta TCP 5900 tramite i log di sistema, offre una copertura equivalente. Su macOS, il processo screensharingd nei Unified Logs rappresenta l'indicatore nativo da monitorare.

Gestione dei falsi positivi. La calibrazione passa per tre leve di tuning:

• Whitelist binari autorizzati: mantenere una lista aggiornata dei server VNC approvati dall'IT, con hash e percorso atteso. Ogni VNC fuori lista genera alert.
• Contesto utente: escludere gli account di servizio e gli admin IT che usano VNC legittimamente, ma solo se il processo parte da percorsi standard.
• Baseline di rete: stabilire quali host comunicano normalmente su porte VNC. Connessioni tra endpoint che non sono nella baseline meritano investigazione immediata.

Come controllo preventivo, il filtraggio del traffico sulle porte VNC di default (5900, 5800, 5500) tramite firewall interni e la rimozione dei software VNC non autorizzati — verificata tramite audit periodici con strumenti come osquery (open source) — riducono drasticamente la superficie d'attacco prima ancora che il SOC debba intervenire.

Quando un'intrusione sfrutta VNC per il movimento laterale, la ricostruzione forense deve tracciare tre dimensioni: installazione del software, connessioni di rete e azioni dell'operatore sulla sessione remota.

Artefatti Windows. Il punto di partenza è il registro di sistema. L'installazione di un server VNC come TightVNC o UltraVNC lascia tracce nelle chiavi di registro sotto HKLM\SOFTWARE e, se installato come servizio, sotto HKLM\SYSTEM\CurrentControlSet\Services. Il nome del servizio varia — tvnserver per TightVNC, uvnc_service per UltraVNC — e la chiave ImagePath rivela il percorso del binario.

I file di configurazione meritano attenzione speciale. TightVNC salva le impostazioni nel registro sotto HKLM\SOFTWARE\TightVNC\Server, inclusa la password cifrata (con un algoritmo DES noto e reversibile) e la porta di ascolto. UltraVNC usa invece un file ultravnc.ini nella directory di installazione. Entrambi gli artefatti permettono di ricostruire come l'attaccante ha configurato l'accesso.

Per la timeline, i Prefetch files di Windows (C:\Windows\Prefetch) registrano l'esecuzione dei binari VNC con timestamp di primo e ultimo avvio. L'analisi con PECmd (open source, parte della suite Eric Zimmerman Tools) estrae rapidamente queste informazioni:

PECmd.exe -f "C:\Windows\Prefetch\WINVNC.EXE-XXXXXXXX.pf"

I log Sysmon, se attivi, offrono la catena completa: EventCode 1 per il processo, EventCode 3 per le connessioni con IP sorgente e destinazione, EventCode 11 per eventuali file creati dal binario VNC. Gli ShimCache e AmCache completano il quadro confermando l'esecuzione storica del binario anche in assenza di Prefetch.

Artefatti Linux. Su sistemi Linux, la history della shell potrebbe contenere i comandi di installazione e avvio (apt install x11vnc, x11vnc -display :0). I log di autenticazione in /var/log/auth.log registrano le connessioni PAM associate al servizio VNC, mentre journalctl cattura lo start/stop dell'unità di servizio se il VNC è stato registrato in systemd.

Artefatti di rete. Le catture PCAP sul segmento interno sono fondamentali. Il protocollo RFB inizia con un handshake in chiaro che rivela la versione del server (es. "RFB 003.008"), rendendo l'identificazione del traffico VNC possibile anche su porte non standard. Zeek (open source) genera log di protocollo che, correlati con i timestamp endpoint, chiudono la timeline collegando l'attaccante alla vittima.

L'uso di VNC come vettore di lateral movement attraversa confini geografici e motivazionali diversi, con un filo conduttore: la preferenza per strumenti legittimi che si mimetizzano nel traffico amministrativo ordinario.

Gamaredon Group (G0047), attore legato all'Ucraina orientale, impiega UltraVNC per mantenere il controllo interattivo sugli host compromessi. Il gruppo è noto per campagne di spionaggio ad alta frequenza e bassa sofisticazione tecnica: l'uso di un tool open source come UltraVNC riflette questa filosofia operativa, privilegiando la rapidità di deployment rispetto all'evasione. La scelta di UltraVNC suggerisce operazioni dove il tempo di permanenza è secondario rispetto all'estrazione rapida di informazioni.

FIN7 (G0046), gruppo a matrice finanziaria, utilizza invece TightVNC per il controllo degli host compromessi. FIN7 opera con un livello di sofisticazione significativamente superiore e l'impiego di TightVNC si inserisce tipicamente in catene d'attacco che combinano spear-phishing iniziale, escalation dei privilegi e lateral movement strutturato verso i sistemi di pagamento. Il VNC serve come strumento hands-on-keyboard per le fasi finali dell'operazione.

Fox Kitten (G0117), attore iraniano, installa sia il server che il client TightVNC su server e endpoint compromessi, creando un'infrastruttura VNC interna completa per il lateral movement. Questo pattern — deployment bilaterale server/client — indica una pianificazione operativa più strutturata: l'attaccante non si limita a connettersi a un host, ma costruisce un tessuto di connettività VNC tra i nodi compromessi.

GCMAN (G0036) utilizza VNC genericamente per il lateral movement, senza che sia documentato un client specifico. Il gruppo è orientato ad attacchi nel settore finanziario.

Pattern trasversali. Sul fronte malware, l'integrazione di funzionalità VNC in famiglie come TrickBot, WarzoneRAT e Latrodectus segna una tendenza chiara: il VNC non è più solo un tool esterno installato post-compromissione, ma una capability nativa dei RAT moderni. Latrodectus, in particolare, instrada il traffico C2 tramite Keyhole VNC, una libreria VNC leggera ideale per l'embedding in malware. Questa convergenza tra tool legittimi e malware rende la distinzione tra uso lecito e abuso sempre più complessa per i difensori, e conferma che il monitoraggio delle porte VNC standard non è più sufficiente — l'analisi comportamentale dei processi è l'unica detection scalabile.

Framework MITRE ATT&CK v16 — tecnica T1021.005 (Remote Services: VNC), tattica TA0008. Gruppi: G0047, G0046, G0036, G0117. Software: S0412, S1014, S0484, S0266, S0279, S0670, S1160. Mitigazioni: M1042, M1037, M1047, M1033. Detection: DET0178 (AN0504, AN0505, AN0506). Integrato con conoscenza professionale per tool e procedure operative.