Cancellazione dei Log di Windows: Clear Windows Event Logs (T1070.001)

La simulazione della cancellazione dei log è uno degli esercizi più utili per validare le capacità di detection di un SOC. Prima di partire, due premesse operative: servono privilegi di amministratore locale e un ambiente di test dove il forwarding dei log verso il SIEM sia già attivo, altrimenti il test dimostra solo che i log spariscono — cosa che già sappiamo.

Il metodo più classico sfrutta l'utility nativa wevtutil (open source, inclusa in Windows). Da un prompt elevato:

wevtutil cl Security wevtutil cl System wevtutil cl Application

Ogni invocazione produce un evento EventCode 1102 nel canale Security (per il log Security) e EventCode 104 nel canale System (per gli altri log), prima che la cancellazione si completi. È questo il paradosso utile ai difensori: l'atto di cancellare genera esso stesso un artefatto rilevabile.

Per testare il vettore PowerShell, apri una sessione elevata e lancia:

Remove-EventLog -LogName Security

Questo cmdlet non si limita a svuotare il log: lo deregistra come sorgente. Dopo un riavvio, il logging sulla sorgente Security non riprende automaticamente. In un test red team è essenziale ripristinare la configurazione al termine dell'esercizio con New-EventLog -LogName Security -Source Security.

Il terzo scenario, più aggressivo, prevede la cancellazione diretta dei file .evtx. In una sessione elevata:

del /F /Q C:\Windows\System32\winevt\Logs\Security.evtx

Questo metodo bypassa le API Windows e non genera necessariamente l'evento 1102, il che lo rende più insidioso. Per rilevarlo serve Sysmon con monitoraggio delle operazioni su file in quella directory.

Con Atomic Red Team (open source), il framework di Atomic Red Team del progetto Red Canary offre test precostituiti per questa tecnica. Il test si lancia con:

Invoke-AtomicTest T1070.001

Questo eseguirà automaticamente le varianti documentate, permettendo al SOC di verificare in tempo reale quali alert scattano e quali no. Dopo ogni test, Atomic Red Team fornisce comandi di cleanup per riportare il sistema allo stato originale.

Un approccio complementare prevede l'uso di Seatbelt (open source) per enumerare lo stato dei log prima e dopo la cancellazione, documentando l'impatto reale sull'integrità delle evidenze.

Il punto di partenza è un dato confortante: cancellare i log di Windows è una delle poche azioni offensive che genera obbligatoriamente un evento di sistema prima di completarsi. Il canale Security registra EventCode 1102 quando il log Security viene svuotato; il canale System registra EventCode 104 per la cancellazione di qualsiasi altro log. Questi due codici sono il pilastro della detection.

La regola base nel SIEM è banale da scrivere ma richiede tuning attento. Un alert su ogni 1102 in un'organizzazione con centinaia di server produce rumore: gli amministratori di sistema cancellano legittimamente i log durante manutenzioni programmate. La chiave sta nel contesto temporale e nell'identità dell'utente. Filtra gli account di servizio noti e le finestre di manutenzione, ma mantieni la sensibilità massima per account interattivi che eseguono la cancellazione fuori orario o su asset critici.

Il secondo livello di detection si appoggia a Sysmon (open source, distribuito da Microsoft Sysinternals). L'EventCode 1 (Process Creation) cattura l'esecuzione di wevtutil.exe con argomento cl, e l'EventCode 11 (FileCreate) o l'EventCode 23 (FileDelete) intercetta la manipolazione diretta dei file .evtx. Una regola Sigma ben scritta correla il processo padre con il comando di cancellazione, distinguendo l'amministratore che pulisce un log di test dall'attaccante che svuota tre canali in sequenza rapida.

La catena comportamentale descritta nella detection DET0532 è particolarmente efficace: cerca una sequenza in cui un utente acquisisce privilegi elevati e, entro una finestra temporale configurabile, esegue un comando di cancellazione. I parametri di tuning includono:

• TimeWindow: intervallo tra l'escalation e l'evento 1102, tipicamente tra 5 e 60 minuti
• UserContext: focus su account admin/elevati, escludendo service account documentati
• CommandLinePattern: match su wevtutil cl, Remove-EventLog, Clear-EventLog, e accessi diretti alla directory winevt\Logs
• TargetLogName: priorità su Security, System e Application, estendibile a log custom

Per i falsi positivi, il pattern più comune è l'amministratore che svuota il log Application su un server di sviluppo. Crea una whitelist basata su coppia (utente, hostname) e rivedila mensilmente. Non whitelistare mai la cancellazione del log Security su domain controller o server critici: non esiste un motivo operativo legittimo che giustifichi quella specifica azione.

Come controllo preventivo, l'implementazione di Remote Data Storage tramite log forwarding verso un SIEM o un collector centralizzato rende la cancellazione locale sostanzialmente irrilevante: l'avversario elimina la copia locale, ma gli eventi sono già al sicuro altrove.

Quando arrivi su un sistema dove i log sono stati cancellati, la prima reazione è lo sconforto. La seconda, più produttiva, è ricordare che la cancellazione dei log lascia essa stessa una firma forense ricca e ricostruibile.

L'artefatto primario è l'evento 1102 nel canale Security, che sopravvive in diversi scenari perché viene scritto prima che il buffer venga svuotato. Se l'attaccante ha usato wevtutil cl Security, il file Security.evtx conterrà tipicamente un unico evento: proprio il 1102, con timestamp, SID dell'account e nome del processo chiamante. Quel timestamp è il punto zero della tua timeline a ritroso.

Se i file .evtx sono stati cancellati direttamente dal filesystem, entra in gioco l'analisi del volume NTFS. Lo strumento MFTECmd di Eric Zimmerman (open source) analizza la Master File Table e rivela le entry dei file eliminati, incluso il timestamp di cancellazione. Il comando:

MFTECmd.exe -f C:$MFT --csv output_dir

produce un CSV interrogabile dove cercare i riferimenti ai file nella directory winevt\Logs. Il campo $STANDARD_INFORMATION mostra la data di ultimo accesso, mentre $FILE_NAME conserva il timestamp di creazione originale. La discrepanza tra i due può rivelare quando il file è stato manipolato.

L'USN Journal (Update Sequence Number) è un secondo alleato prezioso. Con fsutil nativo di Windows:

fsutil usn readjournal C: csv > usn_output.csv

Il journal registra operazioni di creazione, modifica e cancellazione su file. Cerca entry con ragione USN_REASON_FILE_DELETE relative ai file .evtx. Anche se l'avversario ha cancellato i log giorni prima, il journal conserva la traccia fino al wrapping del buffer circolare.

Sul fronte della memoria volatile, un'immagine RAM acquisita con WinPmem (open source) può contenere frammenti dei log originali non ancora sovrascritti. Con Volatility 3 (open source), il plugin windows.cmdline rivela le command line dei processi, incluse eventuali invocazioni di wevtutil ancora in memoria.

Per correlazione laterale, se il sistema era configurato con Sysmon, il canale Microsoft-Windows-Sysmon/Operational potrebbe non essere stato cancellato dall'attaccante — molti threat actor si concentrano su Security, System e Application dimenticando i log Sysmon. Controlla anche i log PowerShell ScriptBlock (EventCode 4104) nel canale Microsoft-Windows-PowerShell/Operational: se l'avversario ha usato Remove-EventLog, il comando è stato registrato lì prima della cancellazione.

Infine, verifica i Prefetch files in C:\Windows\Prefetch. Il file WEVTUTIL.EXE-{hash}.pf indica data e ora dell'ultima esecuzione (e delle ultime otto con Windows 10/11). Analizzalo con PECmd (open source) di Eric Zimmerman per estrarre i timestamp e i file referenziati durante l'esecuzione.

La cancellazione dei log di Windows è una tecnica trasversale che attraversa confini geopolitici, motivazioni e livelli di sofisticazione. Con 13 gruppi documentati e 26 software, il panorama di utilizzo è tra i più ampi nel catalogo delle tecniche di Defense Evasion. Ma proprio questa ampiezza permette di tracciare pattern significativi.

Volt Typhoon (G1017) rappresenta il polo più sofisticato: la cancellazione è selettiva, mirata a rimuovere solo le tracce delle proprie attività senza svuotare interamente i log, rendendo più difficile per i difensori accorgersi che qualcosa è stato eliminato. Questo approccio chirurgico è coerente con un mandato di spionaggio a lungo termine dove la persistenza silenziosa vale più della distruzione.

All'estremo opposto troviamo gli operatori ransomware. Play (G1040), così come i malware LockBit 3.0, LockBit 2.0, RansomHub, BlackCat e Qilin, cancellano i log come ultimo passo prima della detonazione del payload. Per loro non c'è bisogno di sottigliezza: l'obiettivo è rallentare l'analisi forense post-incidente e complicare la risposta. La presenza di cinque famiglie ransomware distinte conferma che la pulizia dei log è ormai una feature standard nel toolkit ransomware moderno.

Il cluster dello spionaggio cinese è particolarmente denso: APT41 (G0096), Aquatic Panda (G0143), Chimera (G0114) e la stessa Operation Wocao (C0014) — campagna con possibili sovrapposizioni con APT20 che ha colpito organizzazioni in almeno dieci paesi tra cui Italia, Germania e Francia — condividono la pratica. Il denominatore comune è l'uso di wevtutil cl come comando preferito, suggerendo procedure operative standardizzate o condivisione di playbook tra team affiliati.

APT28 (G0007), associato a interessi russi, segue lo stesso schema con comandi wevtutil cl System e wevtutil cl Security. Dragonfly (G0035) va oltre, estendendo la pulizia anche ai log di Terminal Services, Remote Services e audit — un'indicazione di awareness operativa elevata su quali sorgenti possano rivelare movimenti laterali.

Il contesto finanziario è coperto da FIN8 (G0061), FIN5 (G0053) e APT38 (G0082). Quest'ultimo è notevole perché cancella esplicitamente anche i log Sysmon, dimostrando consapevolezza degli strumenti di detection avanzata — un indicatore di maturità operativa che lo distingue dalla media.

Indrik Spider (G0119) merita attenzione per l'uso di Cobalt Strike come vettore di cancellazione e HAFNIUM (G0125) per la pulizia mirata delle sole azioni attribuibili all'attore, un altro esempio di cancellazione selettiva simile a Volt Typhoon.

Sul fronte dei wiper, NotPetya, HermeticWiper, HermeticWizard, Olympic Destroyer, Apostle, MultiLayer Wiper e Meteor integrano tutti la cancellazione dei log come fase pre-distruzione. Questo pattern è un indicatore predittivo: se un'organizzazione rileva cancellazione massiva di log seguita da attività anomala sul filesystem, il rischio di un attacco distruttivo imminente è concreto.

Framework MITRE ATT&CK v16 — Tecnica T1070.001 (Clear Windows Event Logs), Tattica TA0005 (Defense Evasion), Campagna C0014 (Operation Wocao). Detection DET0532 e analytic AN1472. Mitigazioni M1022, M1029, M1041. Integrato con conoscenza professionale per tool e procedure operative: Atomic Red Team, MFTECmd, PECmd, WinPmem, Volatility 3, Sysmon, Seatbelt.