Accessibilità Forzata: Event Triggered Execution - Accessibility Features (T1546.008)

La sostituzione dei binari di accessibilità richiede accesso amministrativo preliminare. Il metodo classico prevede la sostituzione diretta del file sethc.exe con cmd.exe:

takeown /f C:\Windows\System32\sethc.exe
icacls C:\Windows\System32\sethc.exe /grant %username%:F
copy C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe

Su sistemi più recenti con protezioni WFP/WRP attive, l'approccio tramite Registry risulta più efficace. La modifica delle Image File Execution Options (IFEO) permette di bypassare le protezioni:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe" /f

Empire automatizza questo processo con moduli dedicati che gestiscono le diverse versioni di Windows. Il tool può sostituire non solo Sticky Keys, ma l'intero set di binari di accessibilità inclusi utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe e AtBroker.exe.

Per testare in laboratorio, configura una VM Windows con RDP abilitato. Dopo aver applicato una delle modifiche sopra, disconnetti la sessione RDP e riconnettiti. Alla schermata di login, premi shift cinque volte consecutive per attivare il prompt dei comandi con privilegi SYSTEM.

L'attacco funziona anche localmente, ma la vera potenza emerge quando combinato con accesso remoto. APT29 e Deep Panda hanno dimostrato l'efficacia di questa tecnica in operazioni reali, utilizzandola per mantenere l'accesso a sistemi critici per periodi prolungati.

La detection strategy DET0033 si concentra su due vettori principali: modifiche ai binari di sistema e alterazioni del registro. Sysmon fornisce la visibilità necessaria per entrambi i pattern comportamentali.

Configura alert per modifiche ai file di accessibilità monitorando gli EventID 2 (file creation time changed) e 11 (file created) di Sysmon. I path critici includono C:\Windows\System32\sethc.exe, utilman.exe, osk.exe e gli altri binari di accessibilità.

Le modifiche al registro IFEO generano EventID 13 (registry value set) con target path contenente "Image File Execution Options". La correlazione temporale tra modifica del registro ed esecuzione anomala del binario (entro 1 ora) aumenta la confidenza del rilevamento.

Un indicatore ad alta fedeltà è l'esecuzione di cmd.exe o powershell.exe con winlogon.exe come processo padre e contesto SYSTEM. Questo pattern è estremamente raro in condizioni normali e suggerisce fortemente un hijacking delle funzionalità di accessibilità.

Per ridurre i falsi positivi, implementa whitelist per processi di manutenzione legittimi che potrebbero modificare questi file. Monitora anche l'uso delle combinazioni di tasti associate (shift x5, Win+U) in correlazione con login RDP per identificare l'exploitation attiva.

L'analisi forense inizia dall'identificazione delle modifiche ai binari di accessibilità. Verifica hash e timestamp di sethc.exe, utilman.exe e compagni confrontandoli con versioni pulite del sistema operativo corrispondente.

Il registro contiene tracce durature nelle chiavi IFEO sotto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options. La presenza di valori "Debugger" per binari di accessibilità indica manipolazione. LastWriteTime delle chiavi fornisce timing dell'attacco.

Axiom e Fox Kitten hanno lasciato pattern distintivi nelle loro operazioni. Axiom tende a sostituire solo Sticky Keys, mentre Fox Kitten modifica multiple funzionalità di accessibilità per ridondanza.

Gli Event Log di Windows Security (EventID 4688 per process creation) mostrano l'esecuzione anomala di shell con privilegi elevati. Correla questi eventi con log RDP (EventID 4624/4625) per ricostruire la sequenza di accesso remoto e exploitation.

Prefetch files e ShimCache possono rivelare esecuzioni storiche dei binari sostituiti. USN Journal documenta le modifiche ai file di sistema, fornendo timestamp precisi per la timeline. L'analisi della memoria può catturare processi cmd.exe orfani con parent process inusuali, confermando l'exploitation attiva.

APT3 utilizza questa tecnica come parte standard del loro playbook di persistenza. Il gruppo sostituisce sistematicamente sethc.exe dopo aver ottenuto credenziali amministrative, spesso entro le prime 24-48 ore dall'accesso iniziale.

APT29 dimostra maggiore sofisticazione, combinando sticky-keys con altre tecniche di persistenza per creare ridondanza. Il gruppo preferisce mantenere multiple vie di accesso, suggerendo che la detection di questa tecnica non garantisce l'eradicazione completa.

APT41 adatta l'approccio in base al target. Contro obiettivi healthcare utilizzano prevalentemente utilman.exe, mentre in campagne finanziarie prediligono sethc.exe. Questa variazione tattica suggerisce adattamento basato su telemetria difensiva del settore.

Deep Panda e Fox Kitten mostrano preferenze geografiche distinte. Deep Panda concentra l'uso di questa tecnica contro target del sud-est asiatico, mentre Fox Kitten la impiega prevalentemente in operazioni mediorientali.

L'overlap nei tool tra questi gruppi è minimo, ma la tecnica rimane costante. Questo suggerisce che la metodologia è parte della formazione base per operatori APT, indipendentemente dall'affiliazione. La persistente popolarità dopo oltre un decennio di uso documentato indica che molte organizzazioni rimangono vulnerabili nonostante la notorietà della tecnica.

Framework MITRE ATT&CK documenta questa tecnica con esempi dettagliati di APT29, Deep Panda e altri gruppi. Le campagne Axiom forniscono case study sull'uso operativo. Microsoft Security Response Center offre guidance tecnica per la detection tramite Event Log analysis.