Proxy Execution via CMSTP: System Binary Proxy Execution: CMSTP (T1218.003)

L'abuso di CMSTP.exe si articola in due scenari principali: il proxy execution di payload da file INF e il bypass UAC tramite interfacce COM auto-elevate. Entrambi sono replicabili in laboratorio con strumenti nativi di Windows.

Scenario 1 — Esecuzione via INF malevolo. Il cuore della tecnica sta nella creazione di un file INF che, nella sezione [UnRegisterOCXs], richiama uno scriptlet remoto o un comando locale. La struttura di un INF minimale per il test è questa:

[version]
Signature=$chicago$
AdvancedINF=2.5

[DefaultInstall_SingleUser]
UnRegisterOCXs=UnRegisterOCXSection

[UnRegisterOCXSection]
%11%\scrobj.dll,NI,<percorso-sct-locale-o-placeholder>

Una volta creato il file, l'esecuzione avviene con un singolo comando. La sintassi usata da Cobalt Group è rivelatrice:

cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt

Il flag /s impone l'installazione silenziosa, /ns impedisce la creazione di un collegamento sul desktop. L'estensione .txt è intenzionale: il binario accetta qualsiasi estensione purché il contenuto sia un INF valido, e rinominarlo aiuta a eludere regole di detection basate sull'estensione.

Scenario 2 — Bypass UAC via COM. CMSTP.exe espone le interfacce COM CMSTPLUA ({3E5FC7F9-9A51-4367-9063-A120244FBEC7}) e CMLUAUTIL, entrambe configurate per l'auto-elevazione. Un attaccante può istanziare l'oggetto COM da PowerShell o da un eseguibile custom per eseguire comandi con privilegi elevati senza trigger del prompt UAC. Framework come Metasploit (open source) includono il modulo exploit/windows/local/bypassuac_cmstp per automatizzare questo flusso.

Tool per il laboratorio. Il progetto Atomic Red Team (open source) contiene test atomici specifici per T1218.003 con file INF pre-costruiti. Per la generazione di payload SCT, è utile GreatSCT (open source), che produce scriptlet COM compatibili con CMSTP. L'intero flusso si testa su una macchina Windows 10/11 con Sysmon (open source) installato per verificare la telemetria generata.

Un consiglio operativo: durante il red team, monitorate voi stessi. Attivate Sysmon con una configurazione che logga process creation (EventID 1) e network connection (EventID 3), poi verificate se il vostro Blue Team riesce a vedere la catena CMSTP → scrobj.dll → connessione outbound.

Il detection engineering per CMSTP.exe parte da un vantaggio raro: in quasi tutti gli ambienti enterprise, questo binario non viene mai eseguito legittimamente. Ciò significa che la semplice osservazione della sua esecuzione è già un segnale ad alta fedeltà, con un tasso di falsi positivi prossimo allo zero — a meno che l'organizzazione non utilizzi profili VPN Connection Manager.

Le log source primarie sono Sysmon e i log PowerShell, come indicato dalla detection DET0328. Ecco i pilastri della strategia di alerting.

Process Creation come fondamento. Il primo alert deve intercettare qualsiasi istanza di cmstp.exe tramite Sysmon EventID 1. La correlazione va fatta sulla command line: i flag /s e /ns in combinazione, percorsi INF in directory temporanee (%TEMP%, %APPDATA%), e soprattutto file con estensioni inconsuete (.txt, .tmp, .dat) passati come parametro. La regex di tuning [INFPathRegex] dovrebbe catturare path al di fuori delle directory standard di Connection Manager (%ProgramData%\Microsoft\Network\Connections).

Network connection post-esecuzione. Se CMSTP carica uno scriptlet remoto, Sysmon EventID 3 registrerà una connessione outbound originata dal processo. Correlate l'avvio di CMSTP con connessioni di rete entro una finestra temporale di 30-60 secondi ([TimeWindow]). Il parametro [ExternalIPAllowlist] permette di escludere eventuali endpoint Microsoft legittimi, ma nella pratica qualsiasi connessione da CMSTP verso l'esterno è sospetta.

COM interface monitoring. Il bypass UAC passa attraverso le interfacce CMSTPLUA e CMLUAUTIL. Monitorate la creazione di processi con EventID 1 dove il parent process è DllHost.exe e il GUID dell'interfaccia COM corrisponde a quelli noti ({3E5FC7F9-9A51-4367-9063-A120244FBEC7}). Questa è la firma del bypass UAC: l'esecuzione di comandi arbitrari tramite un oggetto COM auto-elevato.

Registry modification. L'installazione di un profilo Connection Manager modifica chiavi sotto HKLM\SOFTWARE\Microsoft\Connection Manager. Sysmon EventID 12/13 rileva queste scritture. Utilizzate [RegistryKeyAllowlist] per escludere profili noti e legittimi.

Per la mitigazione preventiva, la strada più diretta è bloccare l'esecuzione di CMSTP.exe tramite AppLocker o Windows Defender Application Control (a pagamento, incluso in Windows Enterprise), come indicato dalla mitigazione M1038. Se l'ambiente non utilizza Connection Manager — e nella stragrande maggioranza dei casi non lo fa — la rimozione o il blocco del binario (M1042) elimina la superficie d'attacco alla radice.

L'analisi forense di un abuso CMSTP produce artefatti distribuiti su tre aree: filesystem, registro di sistema e telemetria di processo. La buona notizia è che questa tecnica lascia tracce consistenti, a patto di sapere dove cercare.

Artefatti filesystem. Il punto di partenza è il file INF malevolo. Anche se l'attaccante lo elimina dopo l'esecuzione, le tracce MFT (Master File Table) su NTFS ne conservano il record. Cercate file INF o con contenuto INF (ricordate che Cobalt Group usava estensione .txt) nelle directory temporanee dell'utente. Lo strumento MFTECmd (open source, parte della suite Eric Zimmerman Tools) permette di parsare la $MFT ed estrarre timestamp di creazione, modifica e accesso:

MFTECmd.exe -f C:$MFT --csv C:\output --csvf mft_parsed.csv

Filtrate il CSV risultante per nomi di file con contenuto sospetto nelle directory %TEMP% e %APPDATA%\Local\Temp. Se il payload include DLL o SCT scaricati da remoto, questi transiteranno per la cache IE/Edge o per directory temporanee — cercateli con timestamp coerenti.

Artefatti di registro. L'installazione di un profilo Connection Manager scrive sotto HKLM\SOFTWARE\Microsoft\Connection Manager e potenzialmente sotto le chiavi di configurazione dei servizi di rete. Estraete i registry hive con RegRipper (open source) per identificare profili non riconosciuti. Per il bypass UAC, verificate le chiavi COM sotto HKCR\CLSID\{3E5FC7F9-9A51-4367-9063-A120244FBEC7} e le eventuali tracce di istanziazione in HKCU\Software\Classes\CLSID.

Ricostruzione della process chain. I log Sysmon sono il pilastro della timeline. La catena tipica si ricostruisce così: un processo padre (spesso cmd.exe, powershell.exe o un documento Office) genera cmstp.exe (EventID 1), che a sua volta carica scrobj.dll (EventID 7, image load). Se il bypass UAC è coinvolto, vedrete DllHost.exe come processo intermedio che genera il comando finale con integrità elevata.

Prefetch e Amcache. Il file di prefetch CMSTP.EXE-<hash>.pf, analizzabile con PECmd (open source, Eric Zimmerman Tools), rivela le DLL caricate e i file referenziati durante l'esecuzione — incluso il path del file INF malevolo. L'Amcache (C:\Windows\AppCompat\Programs\Amcache.hve) conferma l'esecuzione e fornisce un hash SHA-1 del binario, utile per escludere versioni trojanizzate di CMSTP.exe stesso.

La correlazione temporale tra creazione del file INF, esecuzione di CMSTP, eventuale connessione di rete e creazione di processi figli costituisce la spina dorsale della timeline. Ogni elemento ha timestamp indipendenti che, se coerenti, rafforzano la ricostruzione dell'incidente.

L'abuso di CMSTP.exe disegna un pattern di interesse per due gruppi con profili operativi molto diversi, accomunati dalla ricerca di tecniche di evasione a basso costo.

MuddyWater (G0069) è un gruppo con legami con l'Iran, attivo prevalentemente contro obiettivi in Medio Oriente, Asia meridionale e alcune porzioni dell'Europa. L'utilizzo di CMSTP.exe come vettore per il payload POWERSTATS — un backdoor PowerShell-based — è coerente con il modus operandi del gruppo: abuso di binari legittimi Windows per evitare detection e mantenere un footprint leggero. MuddyWater ha storicamente privilegiato tecniche di "living off the land" e l'impiego di file INF malevoli si inserisce perfettamente in questa filosofia. Il passaggio da un file INF a POWERSTATS indica una catena dove CMSTP funge da primo anello di evasione, seguito dall'esecuzione in-memory del payload reale.

Cobalt Group (G0080) opera invece nel settore finanziario con un approccio più orientato al profitto economico diretto. Il comando specifico documentato — con il flag /s /ns e un file rinominato in .txt nella directory temporanea — rivela un'attenzione all'OPSEC operativo. La scelta di un'estensione neutra e di un path con notazione 8.3 (ADMINI~W) suggerisce automazione e possibile esfiltrazione tramite script. Per Cobalt Group, CMSTP rappresenta una soluzione elegante al problema AppLocker in ambienti bancari dove le policy applicative sono tipicamente più restrittive.

Sul versante malware, CHIMNEYSWEEP (S1149) sfrutta CMSTP per installare un profilo Connection Manager malevolo — un uso più vicino alla funzionalità originale del binario, che rende la detection ancora più complessa perché l'azione sembra legittima. LockBit 3.0 (S1202) adotta un approccio condizionale: il ransomware tenta il bypass UAC via CMSTP solo se non dispone già di privilegi amministrativi, dimostrando una logica di escalation progressiva tipica dei ransomware maturi.

Il trend emergente è chiaro: CMSTP.exe è diventato uno strumento trasversale, utilizzato tanto da operatori statali quanto da gruppi cybercriminali. L'analista TI dovrebbe monitorare con attenzione la comparsa di file INF anomali nei feed di indicatori e correlare l'uso di CMSTP con le altre tecniche di proxy execution (Regsvr32, Mshta) per identificare cluster comportamentali riconducibili a questi attori.

Framework MITRE ATT&CK v16 — T1218.003 (System Binary Proxy Execution: CMSTP), TA0005 (Defense Evasion). Gruppi: G0069 (MuddyWater), G0080 (Cobalt Group). Software: S1149 (CHIMNEYSWEEP), S1202 (LockBit 3.0). Mitigazioni: M1038, M1042. Detection: DET0328 / AN0932. Tool di detection: Sysmon, MFTECmd, PECmd, RegRipper. Integrato con conoscenza professionale per tool e procedure operative.