Bypass UAC: Bypass User Account Control (T1548.002)

Il bypass UAC è un esercizio fondamentale in qualsiasi laboratorio di privilege escalation Windows. Prima di tutto, verifica il livello UAC corrente sulla macchina target: il valore della chiave di registro ConsentPromptBehaviorAdmin determina quale metodo funzionerà. Un valore di 5 (default su Windows 10/11) significa che il prompt appare solo per binari non auto-elevabili, lasciando aperta la porta a tutti i bypass tramite binari trusted.

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v ConsentPromptBehaviorAdmin

Il metodo eventvwr è uno dei più classici e ancora didatticamente valido. Consiste nel creare una chiave di registro sotto HKCU\Software\Classes\mscfile\shell\open\command contenente il percorso del payload, quindi lanciare eventvwr.exe. Poiché eventvwr è auto-elevabile e cerca la classe mscfile nel registry dell'utente prima di quello di macchina, il payload viene eseguito con integrità alta senza prompt.

reg add HKCU\Software\Classes\mscfile\shell\open\command /d "C:\temp\payload.exe" /f

eventvwr.exe

Dopo l'esecuzione, ripulisci la chiave per non lasciare artefatti:

reg delete HKCU\Software\Classes\mscfile\shell\open\command /f

Il metodo fodhelper funziona in modo analogo ma sfrutta fodhelper.exe e la chiave HKCU\Software\Classes\ms-settings\shell\open\command. È particolarmente rilevante perché usato in-the-wild da malware come Saint Bot, KOCTOPUS e Raspberry Robin. Per attivarlo occorre anche creare il valore DelegateExecute vuoto nella stessa chiave.

Per un approccio più strutturato, UACMe (open source) è il riferimento assoluto: è un progetto che raccoglie decine di metodi di bypass, ciascuno identificato da un numero, e permette di testare quale funziona sulla specifica build di Windows del target. In un red team engagement si lancia specificando il numero del metodo e il percorso del payload.

In ambienti Cobalt Strike (a pagamento) o Sliver (open source), il bypass UAC è integrato come modulo. Cobalt Strike offre il comando elevate con diversi profili UAC, mentre Sliver espone funzionalità analoghe. Anche Empire (open source) e PoshC2 (open source) includono moduli dedicati con multiple tecniche selezionabili.

Per il metodo COM-based, usato da LockBit 3.0 e Avaddon tramite l'interfaccia CMSTPLUA, il concetto è istanziare un oggetto COM auto-elevato e usare il suo metodo ShellExec per lanciare il payload. Questa variante è più silenziosa perché non tocca chiavi di registro sotto HKCU\Software\Classes.

La detection del bypass UAC si fonda su un principio semplice: i binari auto-elevabili hanno un comportamento prevedibile, e qualsiasi deviazione dalla normalità è sospetta. Le due sorgenti di log essenziali sono Windows Security Event Log e Sysmon, che insieme forniscono la visibilità necessaria.

Il punto di partenza è la correlazione tra manipolazione del registro e avvio di processi auto-elevabili. Monitora con Sysmon (open source) EventID 13 (Registry Value Set) le scritture sulle chiavi più abusate:

• HKCU\Software\Classes\mscfile\shell\open\command
• HKCU\Software\Classes\ms-settings\shell\open\command
• HKCU\Software\Classes\ms-settings\shell\open\command\DelegateExecute
• HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ICM\Calibration

Quest'ultima chiave è specifica di LockBit 2.0, che la sfrutta per un bypass meno conosciuto. Quando una di queste chiavi viene scritta e, entro una finestra temporale di circa 30 secondi, si osserva l'avvio di eventvwr.exe, fodhelper.exe, sdclt.exe o computerdefaults.exe tramite EventID 1 (Process Create) di Sysmon, la probabilità di un bypass attivo è elevata.

L'analisi della catena parent-child è altrettanto critica. Un processo auto-elevabile dovrebbe avere come parent explorer.exe o svchost.exe in scenari legittimi. Se invece eventvwr.exe viene generato da cmd.exe, powershell.exe o da un processo sconosciuto, l'alert deve scattare immediatamente. L'EventID 4688 del Security Log, con audit della command line abilitato, fornisce il contesto necessario per questa analisi.

Per la rilevazione dei bypass COM-based (CMSTPLUA, usato da BADHATCH, Avaddon e LockBit 3.0), monitora l'istanziazione di oggetti COM con CLSID noti per l'auto-elevazione. Sysmon EventID 7 (Image Loaded) cattura il caricamento di DLL associate a interfacce COM, e il CLSID di CMSTPLUA ({3E5FC7F9-9A51-4367-9063-A120244FBEC7}) dovrebbe far parte della lista di sorveglianza.

Il tuning è fondamentale per evitare falsi positivi. Gli amministratori di sistema usano legittimamente eventvwr.exe e sdclt.exe — la differenza sta nel contesto: orari lavorativi, utente in sessione interattiva e parent process coerente indicano attività benigna. Costruisci una whitelist basata sugli account amministrativi noti e sulle workstation di gestione, escludendoli dalla correlazione. I sistemi non presidiati (server, kiosk) non dovrebbero mai generare questi eventi e meritano alert a severità alta senza eccezioni.

Per un approccio centralizzato, configura in Splunk (a pagamento) o Elastic Security (freemium) una regola di correlazione che unisca gli eventi di registry tampering e process creation entro la finestra temporale configurabile.

L'analisi forense di un bypass UAC lascia tracce distintive nel registro di sistema, nei log eventi e nel filesystem. La ricostruzione parte quasi sempre dalla stessa domanda: quale metodo è stato usato e quale payload è stato elevato?

Il primo artefatto da esaminare è il registry. Carica l'hive NTUSER.DAT dell'utente compromesso con Registry Explorer (open source, di Eric Zimmerman) e naviga verso Software\Classes\mscfile\shell\open\command e Software\Classes\ms-settings\shell\open\command. Anche se l'attaccante ha cancellato le chiavi dopo l'esecuzione, le celle del registro marcate come "dirty" possono essere recuperate analizzando lo spazio non allocato dell'hive. La presenza di un valore DelegateExecute vuoto sotto ms-settings è firma quasi univoca del metodo fodhelper.

Per il bypass usato da LockBit 2.0, cerca la chiave HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ICM\Calibration — la sua sola esistenza è anomala in un sistema che non ha subito calibrazioni monitor personalizzate. Per BitPaymer, le chiavi da ispezionare sono le stesse del metodo eventvwr ma sotto il contesto utente (HKCU), con il payload che punta al ransomware stesso.

I log Sysmon, se disponibili, sono una miniera d'oro. Filtra per EventID 13 (RegistryEvent) sulle chiavi note e correla temporalmente con EventID 1 (ProcessCreate) per ricostruire la sequenza esatta: scrittura della chiave → avvio del binario auto-elevabile → esecuzione del payload con integrità alta. Il campo IntegrityLevel nell'evento di process creation conferma che l'elevazione è avvenuta.

Nel Security Event Log, EventID 4688 con command line auditing mostra il comando esatto che ha generato il processo elevato. Cerca invocazioni di eventvwr.exe, fodhelper.exe o sdclt.exe dove il parent process non è explorer.exe. L'EventID 4689 (Process Termination) fornisce la durata di vita del processo auto-elevabile — se è brevissima (pochi secondi), è indicatore di uso strumentale anziché legittimo.

Per i metodi basati su DLL hijacking — come quello di ShimRat che sfrutta cryptbase.dll dentro migwiz.exe, o di H1N1 che abusa di wusa.exe — cerca nel filesystem DLL anomale nelle directory dei binari auto-elevabili. Strumenti come PECmd (open source, di Eric Zimmerman) permettono di analizzare i file Prefetch e identificare quali DLL sono state caricate da un binario specifico: se migwiz.exe ha caricato una cryptbase.dll da una posizione insolita, il hijacking è confermato.

I file Prefetch stessi (C:\Windows\Prefetch) sono preziosi: la presenza di un file .pf per fodhelper.exe o eventvwr.exe con timestamp coerente con l'intrusione aggiunge un punto solido alla timeline. Analizzali con PECmd per estrarre i percorsi delle risorse caricate.

Nella campagna Operation Honeybee (C0006), gli attaccanti hanno usato NTWDBLIB.DLL malevola insieme a cliconfig.exe per il bypass — un artefatto molto specifico da cercare in ambienti che non utilizzano SQL Server Client Network Utility.

Il bypass UAC è una tecnica trasversale: la usano gruppi APT con obiettivi di spionaggio, attori finanziari e operatori ransomware. La differenziazione sta nel come la implementano e in cosa fanno subito dopo l'elevazione.

APT29 ha bypassato UAC come parte di catene d'attacco complesse orientate allo spionaggio governativo. Il gruppo, notoriamente sofisticato, tende a non riutilizzare metodi pubblici una volta bruciati, preferendo adattare tecniche meno note. L'inclusione del bypass UAC nel loro arsenale indica che, nonostante la loro capacità di sfruttare vulnerabilità 0-day, le tecniche di elevazione locale restano una necessità operativa anche per attori di alto livello.

APT38, legato ad operazioni finanziarie, ha scelto un approccio peculiare: l'uso di ieinstal.exe, il programma di installazione di Internet Explorer, come vettore di auto-elevazione. Questo metodo è meno documentato rispetto ai classici eventvwr/fodhelper e rivela una preferenza per binari meno monitorati. APT37 integra il bypass direttamente nel dropper iniziale, rendendo l'elevazione automatica e trasparente nella fase di deployment.

MuddyWater utilizza tecniche multiple di bypass UAC, coerente con il profilo di un gruppo che spesso opera con strumenti modulari e ricicla tool open source. Earth Lusca ha scelto specificamente il metodo fodhelper, lo stesso implementato da malware commodity come Saint Bot e KOCTOPUS, suggerendo un possibile overlap di tooling o ispirazione da risorse pubbliche.

BRONZE BUTLER rappresenta un caso interessante perché utilizza un tool specifico per Windows 10 combinato con il malware xxmm, indicando lo sviluppo di capacità mirate per versioni specifiche dell'OS. Threat Group-3390 e Patchwork adottano metodi pubblici senza particolari personalizzazioni, privilegiando l'efficacia sulla stealth.

Cobalt Group ha integrato il bypass UAC nelle proprie operazioni finanziarie, mentre Medusa Group ha tentato un approccio via interfaccia COM — lo stesso pattern tecnico osservato nei ransomware LockBit 3.0 e Avaddon. La convergenza tra gruppi APT e operatori ransomware sulla tecnica COM-based merita attenzione: il CLSID CMSTPLUA sta diventando un indicatore cross-actor.

Sul fronte software, il dato più significativo è la densità di implementazione nei ransomware: LockBit 2.0, LockBit 3.0, BlackCat, Avaddon, BitPaymer, WastedLocker, Bad Rabbit, Qilin — quasi tutti i ransomware moderni includono almeno un metodo di bypass UAC. Il motivo è operativo: il ransomware deve cifrare directory protette e servizi, richiedendo integrità alta come precondizione.

La campagna Operation Honeybee (C0006), attiva tra agosto 2017 e febbraio 2018, ha colpito organizzazioni umanitarie e quelle legate agli affari inter-coreani, espandendosi dalla Corea del Sud verso Vietnam, Singapore, Giappone, Indonesia, Argentina e Canada. Gli attori, valutati come parlanti coreano, hanno usato NTWDBLIB.DLL e cliconfig.exe per il bypass — una combinazione che suggerisce familiarità con tool amministrativi Windows meno comuni.

Il trend emergente è chiaro: i metodi COM-based e quelli basati su scheduled task (SilentCleanup, usato da CSPY Downloader, CHIMNEYSWEEP e BADHATCH) stanno soppiantando i classici registry-based come fodhelper ed eventvwr nelle implementazioni più recenti, probabilmente in risposta alla copertura detection crescente sui metodi storici.

Framework MITRE ATT&CK v16 — T1548.002 (Bypass User Account Control), tattiche TA0004, TA0005. Campagna C0006 (Operation Honeybee). Detection: Sysmon EventID 1, 7, 13; Windows Security EventID 4688, 4689. Tool di detection: Sysmon, Splunk, Elastic Security. Integrato con conoscenza professionale per tool e procedure operative.