Bypass Politiche di Firma: Code Signing Policy Modification (T1553.006)

Per testare la resilienza dei controlli di firma in ambiente Windows, il comando più diretto è l'attivazione della modalità test. Esegui con privilegi amministrativi:

bcdedit.exe -set TESTSIGNING ON

Questa modifica richiede un riavvio del sistema e introduce un watermark visibile nell'angolo del desktop. Il malware BlackEnergy utilizzava proprio questa tecnica per caricare componenti driver non firmati.

Su macOS, la disabilitazione di SIP richiede l'avvio in Recovery Mode (Command+R durante il boot) e l'esecuzione di:

csrutil disable

Per scenari più avanzati, considera la manipolazione diretta delle variabili kernel. Il gruppo Turla ha dimostrato come sia possibile modificare g_CiOptions in memoria per disabilitare DSE senza riavvii. Questo richiede un driver vulnerabile firmato come CVE-2017-15303, sfruttato dal malware Pandora.

Nel registro Windows, le chiavi critiche si trovano sotto: *HKLM\SYSTEM\CurrentControlSet\Control\CI*

Il malware Hikit manipola questi valori prima di caricare il suo componente rootkit. Per simulare l'attacco del gruppo APT39, modifica il valore RequireSigned nelle policy DLL per permettere l'esecuzione di librerie non firmate.

Durante i test, documenta sempre i cambiamenti di stato del sistema. Utilizza WPA (Windows Performance Analyzer) per tracciare le modifiche kernel in tempo reale e Process Monitor per catturare le alterazioni del registro.

La detection efficace richiede il monitoraggio di molteplici vettori di attacco. Su Windows, configura Sysmon per catturare l'esecuzione di bcdedit.exe con parametri sospetti attraverso l'Event ID 1 (Process Creation).

Nel Security Event Log, monitora l'Event ID 4657 per le modifiche al registro nelle path critiche: HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard

L'analytic AN1446 suggerisce di correlare tre elementi: esecuzione di utility amministrative, modifiche al registro, e successiva esecuzione di binari non firmati. Imposta una finestra temporale di 15 minuti tra questi eventi per ridurre i falsi positivi.

Su macOS, l'analytic AN1447 richiede il parsing degli Unified Logs. Cerca pattern come "csrutil" seguito da "disable" nei command line arguments. Il cambio di stato SIP genera entry specifiche in /var/log/install.log.

Per la detection comportamentale, monitora processi che tentano di caricare driver dopo modifiche alle policy. Un indicatore affidabile è la sequenza: modifica registry/boot config → riavvio → caricamento driver non firmato entro 30 minuti dal boot.

Configura alert separati per ambienti di sviluppo dove le modifiche potrebbero essere legittime. Utilizza allowlist basate su account specifici e orari di business per differenziare attività autorizzate da quelle malevole.

L'analisi forense di questa tecnica inizia dall'esame dei boot configuration data. Su Windows, il file C:\Boot\BCD contiene le impostazioni modificate da bcdedit. Utilizza bcdedit /enum all per visualizzare lo stato corrente e confrontalo con backup precedenti.

Nel registro, le chiavi sotto HKLM\SYSTEM\ControlSet001\Control\CI mantengono timestamp di modifica. Il valore PolicyVersion indica cambiamenti nelle policy di firma. Estrai questi artefatti con RegRipper per una timeline precisa.

La memoria volatile può contenere tracce della manipolazione kernel. Se disponibile un dump della memoria, cerca modifiche a g_CiOptions utilizzando WinDbg: db ci!g_CiOptions L1

Su macOS, /var/db/SystemPolicyConfiguration/KextPolicy registra le modifiche alle policy di firma. I log di sistema in /var/log/system.log documentano quando SIP viene disabilitato o riabilitato.

Per ricostruire l'attività di Turla, cerca driver vulnerabili firmati nel sistema che potrebbero essere stati sfruttati per privilege escalation. I prefetch files (C:\Windows\Prefetch) mostrano l'esecuzione temporale di utility come bcdedit.exe.

Correla gli artefatti con l'installazione di nuovi driver o servizi. Il timestamp di creazione dei file .sys in C:\Windows\System32\drivers spesso coincide con la finestra temporale della modifica delle policy.

Turla rappresenta il profilo più sofisticato nell'uso di questa tecnica. Il gruppo russo dimostra capacità avanzate di manipolazione kernel, bypassando DSE attraverso exploit di driver vulnerabili. La loro preferenza per modifiche in-memory senza riavvii indica obiettivi di lungo termine e volontà di rimanere non rilevati.

APT39, di origine iraniana, adotta un approccio più diretto modificando le policy DLL attraverso il registro. La disabilitazione di RequireSigned suggerisce l'uso di DLL injection come tecnica successiva nella kill chain. Il gruppo tipicamente combina questa tecnica con credential dumping e lateral movement.

L'overlap negli strumenti mostra pattern interessanti. BlackEnergy e Pandora condividono l'approccio di abilitare TESTSIGNING, ma differiscono nell'implementazione. BlackEnergy preferisce persistenza attraverso modifiche boot, mentre Pandora sfrutta vulnerabilità specifiche (CVE-2017-15303) per accesso kernel immediato.

Hikit rappresenta l'evoluzione del rootkit tradizionale, combinando tampering del registro con componenti driver. La sequenza operativa prevede: disabilitazione verifiche → installazione rootkit → ripristino policy per evitare detection.

I trend geografici mostrano che gruppi dell'Europa dell'Est favoriscono manipolazioni kernel dirette, mentre attori mediorientali preferiscono modifiche registry-based. Questa differenza riflette diversi livelli di sofisticazione tecnica e obiettivi operativi.

Framework MITRE ATT&CK T1553.006. Documentazione delle campagne di Turla e APT39. Microsoft Security Response Center per CVE-2017-15303. Apple Security Updates per System Integrity Protection. Analisi malware di BlackEnergy, Hikit e Pandora dai rispettivi vendor di sicurezza.