Sticky Keys e Accessibility Hijacking: Accessibility Features (T1546.008)

La simulazione di questa tecnica in laboratorio è ideale per testare la copertura di detection sugli endpoint. Esistono due approcci principali: la sostituzione del binario e la manipolazione del registro IFEO. Entrambi richiedono privilegi amministrativi locali per essere eseguiti.

Sostituzione diretta del binario. Il metodo classico consiste nel copiare cmd.exe al posto di sethc.exe. In un ambiente di test Windows, da un prompt con privilegi elevati:

takeown /f C:\Windows\System32\sethc.exe

icacls C:\Windows\System32\sethc.exe /grant administrators:F

copy C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe /Y

A questo punto, premendo cinque volte il tasto Shift dalla schermata di login o da una sessione RDP, si ottiene una shell SYSTEM. Lo stesso principio si applica a utilman.exe (invocato con Win+U) e agli altri binari di accessibilità.

Metodo IFEO (Image File Execution Options). Questa variante è più elegante e non richiede di modificare il file protetto da WRP. L'attaccante registra un "debugger" nella chiave di registro corrispondente:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\utilman.exe" /v Debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe" /f

Quando il sistema tenta di lanciare utilman.exe, il kernel avvia prima il debugger specificato — in questo caso cmd.exe — con gli stessi privilegi SYSTEM del processo originale. Il vantaggio per l'attaccante è che il binario legittimo resta intatto, eludendo i controlli di integrità basati su hash.

Framework di automazione. Empire (open source) offre un modulo specifico che sfrutta WMI per eseguire remotamente la sostituzione di sethc.exe, utilman.exe e Magnify.exe con cmd.exe, senza bisogno di interazione diretta con il filesystem della vittima. Anche Metasploit (open source) include il modulo post/windows/manage/sticky_keys per automatizzare l'operazione su sessioni Meterpreter già stabilite.

Per il red team è utile anche testare la variante remota: stabilita una sessione RDP verso il target, disconnettersi senza fare logout e poi riconnettersi premendo Shift cinque volte sulla schermata di lock. Questo simula lo scenario reale documentato per diversi gruppi APT che sfruttano la tecnica durante movimenti laterali via Remote Desktop.

Dopo il test, il ripristino è obbligatorio: ripristinare il binario originale dal backup o dalla cartella *C:\Windows\WinSxS*, e rimuovere eventuali chiavi IFEO create.

La detection di questa tecnica si articola su tre superfici di monitoraggio: integrità del filesystem, modifiche al registro e analisi dei processi in esecuzione. La log source primaria è Sysmon, il cui event logging è il pilastro di ogni strategia di rilevamento qui descritta.

Monitoraggio del registro IFEO. La chiave *HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* è il punto nevralgico. Sysmon con EventCode 13 (RegistryEvent – SetValue) intercetta ogni modifica a queste chiavi. La regola deve filtrare per i target specifici: sethc.exe, utilman.exe, osk.exe, Magnify.exe, Narrator.exe, DisplaySwitch.exe e AtBroker.exe. Qualsiasi valore "Debugger" impostato sotto una di queste chiavi è anomalo per definizione — il tasso di falsi positivi è estremamente basso perché nessun software legittimo registra debugger su binari di accessibilità.

Integrità dei binari. Sysmon EventCode 11 (FileCreate) cattura la sostituzione dei file in *%SystemRoot%\System32*. Una regola efficace confronta l'hash del binario di accessibilità appena scritto con l'hash noto del file originale Microsoft. In alternativa, il Security Event Log nativo con EventCode 4663 (Object Access) può rilevare operazioni di scrittura sui file target, a patto che l'auditing sia configurato sulle directory corrette tramite SACL.

Analisi della catena di processi. Il segnale più forte arriva dall'esecuzione anomala: cmd.exe, powershell.exe o qualsiasi LOLBin lanciato come processo figlio di winlogon.exe nel contesto SYSTEM, senza una sessione utente interattiva attiva. Sysmon EventCode 1 (ProcessCreate) permette di correlare il parent process con il contesto utente. Un'alert che combina parent winlogon.exe + child cmd.exe + utente NT AUTHORITY\SYSTEM + assenza di sessione interattiva ha un rapporto segnale-rumore eccellente.

Per il tuning, il parametro TimeWindow è determinante: una modifica al registro IFEO seguita dall'esecuzione del binario di accessibilità entro un'ora rappresenta una catena comportamentale ad alta confidenza. Il SOC dovrebbe anche monitorare connessioni RDP (EventCode 4624, Logon Type 10) che precedono temporalmente l'attivazione della catena, perché la tecnica viene quasi sempre sfruttata tramite sessioni Remote Desktop.

Come controllo preventivo, l'abilitazione di Network Level Authentication su RDP impedisce l'accesso alla schermata di login prima dell'autenticazione, eliminando il vettore di attivazione remota. AppLocker o Windows Defender Application Control (inclusi in Windows Enterprise) consentono di bloccare l'esecuzione di binari non firmati o non autorizzati dalle directory di sistema.

L'analisi forense di un'intrusione che sfrutta le accessibility features lascia tracce su tre livelli: filesystem, registro e artefatti di esecuzione. La ricostruzione della timeline parte dalla convergenza di questi elementi.

Artefatti sul filesystem. Il primo controllo riguarda i binari nella directory *C:\Windows\System32*. Un sethc.exe o utilman.exe con hash non corrispondente a quello della versione originale Microsoft è la prova più diretta. Il timestamp MACE (Modified, Accessed, Created, Entry Modified) del file è cruciale: il campo $SI_Modified nel record MFT indicherà il momento della sostituzione. Usando MFTECmd (open source, parte della suite di Eric Zimmerman), si può estrarre la Master File Table e individuare le entry modificate:

MFTECmd.exe -f C:$MFT --csv output_directory

Analizzando il CSV risultante, filtrare per i nomi dei binari di accessibilità rivela discrepanze temporali. Il campo $FN_Modified è particolarmente utile perché è più resistente alla manipolazione tramite timestomping rispetto a $SI_Modified.

Artefatti nel registro. La chiave IFEO è il secondo elemento da acquisire. L'hive SYSTEM e l'hive SOFTWARE contengono rispettivamente la configurazione del debugger e le impostazioni di esecuzione. Registry Explorer (open source, Eric Zimmerman) o RegRipper (open source) permettono di analizzare gli hive offline ed estrarre i valori della chiave Image File Execution Options con i relativi timestamp dell'ultima modifica (LastWriteTime). Il timestamp della chiave di registro che contiene il valore "Debugger" deve essere correlato con i log di accesso RDP.

Artefatti di esecuzione. I prefetch file (*C:\Windows\Prefetch*) documentano l'esecuzione di cmd.exe con un contesto temporale utile. PECmd (open source, Eric Zimmerman) estrae i dettagli:

PECmd.exe -d C:\Windows\Prefetch --csv output_directory

Se cmd.exe è stato eseguito nei secondi immediatamente successivi a sethc.exe o utilman.exe, la correlazione temporale è forte. I Windows Event Log forniscono il contesto complementare: EventCode 4624 (Logon Type 10 per RDP) e EventCode 4672 (assegnazione di privilegi speciali) nel Security log collocano l'accesso remoto nella timeline.

La catena forense tipica si ricostruisce così: connessione RDP → modifica registro IFEO o sostituzione binario → disconnessione → riconnessione RDP → attivazione combinazione tasti → shell SYSTEM. Ogni passaggio lascia un artefatto distinto, e la convergenza dei timestamp tra log RDP, modifica MFT/registro e prefetch di cmd.exe costituisce la prova dell'intrusione.

La tecnica T1546.008 è adottata da sei gruppi APT con profili operativi eterogenei, ma accomunati da un denominatore: l'uso della tecnica nel contesto di movimenti laterali via RDP. Questo pattern ricorrente rivela molto sulle fasi della kill chain in cui viene impiegata.

APT41 ha sfruttato Sticky Keys per mantenere persistenza in ambienti già compromessi. Questo gruppo, noto per condurre operazioni sia di spionaggio statale sia a scopo finanziario, utilizza la tecnica come meccanismo di fallback: anche se le credenziali vengono cambiate o le backdoor primarie rimosse, l'accesso tramite la schermata di login resta disponibile.

APT3 ha adottato un approccio più diretto, sostituendo fisicamente il binario sethc.exe in *C:\Windows\System32*. La scelta della sostituzione del file anziché del metodo IFEO suggerisce operazioni su sistemi più datati o una preferenza per la semplicità implementativa.

Deep Panda ha integrato la tecnica nel flusso di intrusione come strumento per bypassare la schermata di login RDP durante i movimenti laterali. Il pattern è significativo: l'attore compromette un primo host, raggiunge via RDP sistemi interni e pianta Sticky Keys per garantirsi accesso persistente senza dipendere dalle credenziali sottratte.

Axiom presenta un utilizzo analogo, con la sostituzione Sticky Keys eseguita all'interno di sessioni RDP già stabilite. La sovrapposizione operativa con Deep Panda è notevole: entrambi i gruppi, attribuiti a operazioni di spionaggio di matrice cinese, impiegano la tecnica nello stesso segmento della kill chain.

Fox Kitten, attore legato all'ecosistema iraniano, ha usato Sticky Keys per ottenere un prompt comandi su sistemi target — un impiego focalizzato sull'accesso rapido piuttosto che sulla persistenza a lungo termine. Questo differenzia il modus operandi dagli attori precedenti.

APT29, associato a operazioni di spionaggio di matrice russa, ha sfruttato Sticky Keys per ottenere accesso privilegiato alla console senza autenticazione. L'impiego da parte di un attore di questo calibro conferma che la tecnica, nonostante la sua apparente semplicità, resta operativamente valida anche per gruppi con capacità tecniche avanzate.

Sul fronte del tooling, Empire fornisce capacità di sostituzione remota dei binari tramite WMI, un elemento che abbassa ulteriormente la barriera d'ingresso. Il pattern geografico è chiaro: tre gruppi di matrice cinese (APT41, APT3, Deep Panda/Axiom), uno russo (APT29) e uno iraniano (Fox Kitten) — una distribuzione che conferma l'adozione trasversale indipendente dall'area geopolitica. Il denominatore comune resta l'infrastruttura RDP esposta o raggiungibile lateralmente, che rappresenta il prerequisito operativo per l'attivazione della tecnica.

Framework MITRE ATT&CK v16: tecnica T1546.008 (Accessibility Features), tattiche TA0003 e TA0004, mitigazioni M1035, M1028, M1038, detection DET0033/AN0094. Software S0363 (Empire). Gruppi G0096, G0022, G0009, G0001, G0117, G0016. Integrato con conoscenza professionale per tool e procedure operative.