Blocco degli Indicatori: Impair Defenses: Indicator Blocking (T1562.006)

La simulazione di questa tecnica richiede una comprensione profonda dei meccanismi di logging del sistema target. Su Windows, il punto di partenza più comune è la manipolazione del Registry per reindirizzare i security log.

Per modificare la destinazione dei log di sicurezza, l'attaccante può utilizzare: reg add "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" /v File /t REG_EXPAND_SZ /d "C:\Windows\Temp\hidden.evtx" /f

Questa modifica prende effetto immediatamente senza richiedere riavvio del sistema. La disabilitazione di ETW può essere ottenuta tramite PowerShell con maggiore controllo granulare utilizzando Set-EtwTraceProvider per definire condizioni specifiche che interrompono la raccolta eventi.

Su sistemi Linux, l'approccio varia in base al demone di logging utilizzato. Per rsyslog, la riconfigurazione può avvenire modificando /etc/rsyslog.conf e riavviando il servizio. Un attaccante potrebbe anche utilizzare approcci più diretti come pkill -9 rsyslogd per terminare il processo, anche se questo genera evidenze più visibili.

APT41 ha dimostrato capacità avanzate sviluppando un injector custom che bypassa completamente ETW, rendendo i processi maligni invisibili al logging di Windows. Questa tecnica richiede lo sviluppo di codice a basso livello che intercetta le chiamate API prima che raggiungano il sottosistema ETW.

Per ESXi, la manipolazione avviene tramite comandi nativi: esxcli system syslog config set --loghost='none' esxcli system syslog config reload

Il testing in laboratorio dovrebbe includere la verifica che i log non vengano più generati o trasmessi dopo l'esecuzione dei comandi. È fondamentale documentare quali indicatori rimangono visibili nonostante il blocco, come modifiche al Registry o processi terminati anomalmente.

La detection di questa tecnica richiede un approccio multilivello che combini il monitoraggio delle modifiche di configurazione con l'analisi comportamentale. Il primo layer di difesa consiste nel rilevare modifiche al Registry di Windows, particolarmente alle chiavi EventLog.

Un alert efficace dovrebbe triggare su modifiche a:

• HKLM\SYSTEM\CurrentControlSet\Services\EventLog*
• Esecuzione di Set-EtwTraceProvider con parametri che disabilitano provider
• Modifiche alla configurazione di Sysmon rilevate tramite EventCode 16

La correlazione temporale è cruciale: un SOC dovrebbe implementare regole che identificano quando un host smette improvvisamente di inviare log. Una baseline del volume di eventi per host permette di rilevare cali anomali che potrebbero indicare un blocco in corso.

Su sistemi Linux, il monitoraggio dovrebbe focalizzarsi su:

• Comandi kill o service stop targeting syslog/rsyslog
• Modifiche a /etc/rsyslog.conf o /etc/syslog-ng.conf
• Audit di syscall per rilevare tentativi di terminazione processi

APT5 utilizza tool come CLEANPULSE che inseriscono stringhe command line nei processi per prevenire specifici eventi di log. La detection richiede il monitoraggio di process injection combinato con l'assenza di eventi attesi.

Per ESXi, configurare alert su esecuzione di comandi esxcli system syslog è essenziale. Il SOC dovrebbe mantenere una whitelist di modifiche autorizzate alla configurazione syslog per ridurre i falsi positivi durante maintenance window pianificate.

L'implementazione di "heartbeat" log che verificano periodicamente la funzionalità del logging può rivelare blocchi anche quando l'attaccante cerca di mantenere un profilo basso. Questi controlli dovrebbero generare eventi di test che attraversano l'intera pipeline di logging.

L'analisi forense di questa tecnica presenta sfide uniche poiché l'obiettivo dell'attaccante è proprio eliminare le evidenze. Tuttavia, anche i tentativi più sofisticati lasciano tracce recuperabili.

Su Windows, il primo artefatto da esaminare è il Registry. Le modifiche alle chiavi EventLog lasciano timestamp nel sistema che possono essere correlati con altri eventi. L'analisi del file SYSTEM hive può rivelare quando è avvenuta la modifica alla configurazione dei log.

Se l'attaccante ha reindirizzato i log verso un file alternativo, questo potrebbe ancora esistere sul sistema. La ricerca di file .evtx in location non standard spesso rivela repository nascosti di eventi che l'attaccante intendeva occultare.

HermeticWiper modifica CrashDumpEnabled nel Registry per disabilitare i crash dump. Questa modifica lascia evidenze nel registro delle modifiche al Registry stesso, permettendo di ricostruire quando l'attaccante ha iniziato a preparare il terreno per attività distruttive.

Su Linux, l'analisi di /var/log/auth.log (se ancora intatto) può mostrare quando sono stati eseguiti comandi privilegiati per modificare la configurazione di logging. I file di configurazione backup o le copie shadow possono contenere le configurazioni originali prima della modifica.

L'esame della memoria può rivelare hook installati da malware come Ebury, che intercetta chiamate di sistema per nascondere file e attività di processo. Questi hook lasciano strutture dati anomale in memoria che possono essere identificate con tool di memory forensics.

La correlazione temporale tra l'ultima entry di log normale e l'inizio di attività sospette su altri sistemi può aiutare a determinare quando il blocco è stato implementato. Spesso gli attaccanti testano il blocco su un sistema prima di applicarlo su larga scala.

APT41 rappresenta uno dei gruppi più sofisticati nell'utilizzo di questa tecnica. Il loro custom ETW bypass injector dimostra capacità di sviluppo avanzate e suggerisce che il gruppo investe risorse significative nell'evasione delle difese. Geograficamente attivi principalmente in Asia-Pacifico, tendono a utilizzare questa tecnica nelle fasi intermedie delle loro operazioni, dopo aver stabilito persistenza ma prima di iniziare l'esfiltrazione massiva.

APT5, con il loro tool CLEANPULSE, mostra un approccio più mirato. Invece di disabilitare completamente il logging, prevengono selettivamente specifici eventi. Questo indica operazioni più chirurgiche, probabilmente mirate a obiettivi di intelligence a lungo termine piuttosto che a attacchi smash-and-grab.

L'analisi dei tool mostra pattern interessanti. Brute Ratel C4, un tool commerciale per red team, include capacità native di patching ETW e AMSI. La disponibilità commerciale di queste capacità abbassa la barriera d'ingresso, permettendo a gruppi meno sofisticati di implementare tecniche precedentemente riservate agli APT di alto livello.

BOLDMOVE specificamente targetta i demoni Fortinet, indicando che gli attaccanti studiano e adattano le loro tecniche alle soluzioni di sicurezza specifiche presenti nell'ambiente target. Questo suggerisce reconnaissance approfondita prima dell'implementazione della tecnica.

Il trend emergente mostra una diversificazione delle tecniche di blocco. Mentre inizialmente focalizzate su Windows ETW, ora vediamo implementazioni specifiche per ESXi, suggesting che gli attaccanti seguono il movimento verso virtualizzazione e cloud. I prossimi sviluppi probabilmente includeranno tecniche specifiche per container e serverless logging.

Tecnica documentata nel framework MITRE ATT&CK. Dati APT basati su report di incident response pubblicati. Riferimenti software da analisi malware documentate. Strategie di detection derivate da implementazioni real-world in SOC enterprise.