Credenziali nel Registro di Sistema: Credentials in Registry (T1552.002)

L'obiettivo di un red team è dimostrare al cliente quanto sia facile estrarre credenziali dal Registro, senza alcun tool custom e spesso senza privilegi elevati. Il punto di partenza sono i due comandi nativi documentati per la tecnica.

Per cercare ricorsivamente nel hive della macchina locale:

reg query HKLM /f password /t REG_SZ /s

Per lo stesso tipo di ricerca nel contesto dell'utente corrente:

reg query HKCU /f password /t REG_SZ /s

Questi comandi usano Reg come strumento nativo di Windows e non richiedono alcun download. In laboratorio, prova a variare il filtro: sostituisci password con cred, pwd, logon, secret per ampliare il raggio di ricerca. Il valore della dimostrazione sta nel volume di risultati che emergono da un ambiente enterprise non bonificato.

Un passo successivo è verificare la chiave di autologon, notoriamente esposta:

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v DefaultPassword

Se il sistema è configurato per il login automatico, la password dell'account comparirà in chiaro nel valore DefaultPassword. È uno dei finding più frequenti in ambito penetration testing.

Per un approccio modulare, PowerSploit (open source, repository archiviato ma ancora disponibile su GitHub) offre funzioni mirate. Il modulo Get-RegistryAutoLogon estrae le credenziali di autologon, mentre Get-CachedGPPPassword cerca le password di Group Policy Preferences memorizzate localmente. Altri moduli utili includono Get-UnattendedInstallFile, Get-Webconfig, Get-ApplicationHost e Get-SiteListPassword, che coprono scenari diversi — dai file di installazione non presidiata alle configurazioni IIS.

Per le sessioni PuTTY, una query mirata al percorso specifico restituisce host, utenti e in alcuni casi proxy password:

reg query HKCU\Software\SimonTatham\PuTTY\Sessions /s

Infine, LaZagne (open source) automatizza l'intera operazione con un singolo comando che raccoglie credenziali da decine di sorgenti, incluso il Registro. In contesto red team si lancia con:

lazagne.exe all

Il tool scandisce ogni modulo disponibile — browser, mail client, sysadmin tool, Wi-Fi — e restituisce un report consolidato. È lo stesso strumento documentato come impiegato dal gruppo RedCurl.

Durante il test, documenta non solo le credenziali trovate ma anche i percorsi specifici del Registro: il report deve indicare al cliente dove bonificare, non solo cosa è stato trovato.

La detection di questa tecnica si concentra su un pattern chiaro: processi che interrogano il Registro con filtri testuali riconducibili a credenziali. La sfida è separare l'attività malevola dal rumore legittimo di gestione IT.

La log source primaria è Sysmon con la configurazione corretta. L'EventCode 1 (Process Create) cattura la riga di comando di reg.exe o di PowerShell quando eseguono query al Registro. Cerca pattern dove la command line contiene simultaneamente reg query e keyword come password, cred, logon o pwd. Un'espressione regolare nel SIEM che intercetti reg(.exe)?\s+query\s+(HKLM|HKCU).*(/f|findstr)\s*(password|cred|pwd|logon) copre la variante nativa.

L'EventCode 13 di Sysmon (Registry Value Set) e l'EventCode 12 (Registry Object Added/Deleted) non sono i più rilevanti qui: ciò che interessa è la lettura, non la scrittura. Per monitorare gli accessi in lettura serve abilitare l'auditing avanzato del Registro tramite SACL (System Access Control List) sulle chiavi sensibili. Configura audit su:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon — chiave di autologon
• HKCU\Software\SimonTatham\PuTTY\Sessions — sessioni PuTTY
• HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles — profili Outlook

L'evento risultante è il Security EventCode 4663 (An attempt was made to access an object) con Object Type Key. Correla questo evento con il processo sorgente: se è reg.exe o powershell.exe lanciato da un utente interattivo, il segnale è forte.

Per i falsi positivi, il tuning critico riguarda l'ancestry del processo. Una catena services.exe → svchost.exe → reg.exe è probabilmente legittima (un servizio che legge la propria configurazione), mentre explorer.exe → cmd.exe → reg.exe con keyword "password" nella riga di comando è quasi certamente sospetta. Il parametro ParentProcessFilter della regola di detection va calibrato su questa distinzione.

La finestra temporale (TimeWindow) è un altro asse di correlazione efficace: se entro 5 minuti dalla query al Registro si osserva un'attività di rete anomala (connessione verso IP esterni, upload su canali non standard), la probabilità di esfiltrazione sale drasticamente. Configura una regola di correlazione nel SIEM che leghi l'evento registry-read all'evento network-connect con lo stesso PID o lo stesso utente.

Per gli ambienti EDR, la maggior parte delle piattaforme — come Microsoft Defender for Endpoint (a pagamento), CrowdStrike Falcon (a pagamento) o Elastic Security (freemium) — offre già regole preconfigurate per il registry credential harvesting. Verifica che siano abilitate e calibrate sul tuo ambiente.

L'analisi forense di questa tecnica si basa su artefatti che testimoniano sia l'esecuzione dei comandi di query sia l'accesso effettivo alle chiavi del Registro. Il vantaggio per l'analista è che Windows lascia tracce multiple e complementari.

Il punto di partenza è il file NTUSER.DAT del profilo utente compromesso. Questo hive contiene la cronologia dei comandi eseguiti nella console, accessibile tramite la chiave Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU. Se l'attaccante ha usato cmd.exe per eseguire reg query, il comando potrebbe comparire in questa lista. Analogamente, la chiave ConsoleHost\History di PowerShell conserva la cronologia dei cmdlet, anche se molti attaccanti la cancellano.

Un artefatto più resistente alla cancellazione è il file di cronologia di PowerShell su disco: il file ConsoleHost_history.txt nella cartella AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine dell'utente. Anche dopo la chiusura della sessione, i comandi persistono su disco a meno di cancellazione esplicita. Cerca invocazioni dei moduli PowerSploit come Get-RegistryAutoLogon o Get-CachedGPPPassword.

Per ricostruire la timeline con precisione, lo strumento più affidabile è RegRipper (open source), che analizza gli hive del Registro offline ed estrae metadati temporali — in particolare i timestamp LastWrite delle chiavi. Se la chiave Winlogon o PuTTY\Sessions mostra un LastWrite recente e anomalo rispetto al baseline, è un indicatore che qualcosa ha interagito con quella chiave.

Sul fronte degli artefatti di esecuzione, i file Prefetch (C:\Windows\Prefetch) registrano l'avvio di reg.exe e lazagne.exe. Ogni file .pf contiene il timestamp dell'ultima esecuzione e il conteggio delle esecuzioni totali. Lo strumento PECmd di Eric Zimmerman (open source) analizza questi file con efficienza. Un REG.EXE-*.pf con un conteggio esecuzioni elevato in un breve arco temporale è un segnale di enumerazione massiva.

Per le campagne documentate, il profilo di StrelaStealer è particolarmente interessante dal punto di vista forense: l'accesso alla chiave Outlook specifica (9375CFF0413111d3B88A00104B2A6676) lascia tracce nei log di auditing del Registro se le SACL sono configurate. Analogamente, TrickBot e il suo accesso alla chiave PuTTY generano pattern riconoscibili nell'analisi degli hive offline.

Se la macchina ha Sysmon installato, il canale Microsoft-Windows-Sysmon/Operational contiene gli eventi di creazione processo (EventCode 1) con la riga di comando completa. Esporta il log .evtx e analizzalo con EvtxECmd (open source) o Chainsaw (open source) cercando i pattern reg query e le keyword associate. Correla i timestamp con gli altri artefatti — Prefetch, cronologia PowerShell, log Security — per costruire una timeline solida che dimostri la sequenza: accesso iniziale → discovery del Registro → esfiltrazione delle credenziali.

Il panorama degli attori che sfruttano le credenziali nel Registro si divide nettamente tra gruppi APT con obiettivi strategici e malware commodity a diffusione massiva. Questa dualità rende la tecnica un indicatore trasversale, utile sia per il tracking di minacce state-sponsored sia per il monitoraggio di campagne criminali.

APT32 (noto anche come OceanLotus) è un gruppo con legami al Vietnam, storicamente focalizzato su dissidenti, giornalisti e aziende con interessi nel Sud-Est asiatico. Il loro impiego di Outlook Credential Dumper per raccogliere credenziali dal Registro riflette un interesse specifico per le comunicazioni email delle vittime — coerente con operazioni di spionaggio dove il contenuto delle caselle di posta è un obiettivo primario.

RedCurl rappresenta un profilo diverso: un gruppo orientato allo spionaggio corporate che opera con tecniche discrete e persistenza prolungata. L'uso di LaZagne — un tool open source multipiattaforma — rivela un approccio pragmatico, dove l'efficacia prevale sull'opsec. RedCurl raccoglie credenziali dal Registro come parte di una catena più ampia di raccolta dati che include documenti aziendali riservati.

Sul versante malware, il quadro è dominato da famiglie con obiettivi finanziari. TrickBot cerca specificamente le sessioni PuTTY nella chiave SimonTatham\PuTTY\Sessions, il che indica un interesse per l'accesso a server remoti — un vettore per muoversi lateralmente verso infrastrutture critiche. Agent Tesla, uno degli infostealer più diffusi, include l'estrazione dal Registro nel suo arsenale standard. Valak utilizza un modulo dedicato chiamato clientgrabber per le credenziali email, mentre StrelaStealer si specializza nell'enumerazione chirurgica dei profili Outlook cercando specificatamente utente, server e password IMAP.

IceApple merita attenzione particolare: è un framework post-exploitation modulare che opera interamente in memoria ed è capace di raccogliere credenziali non solo dal Registro locale ma anche da host remoti. Questa capacità lo distingue dagli altri software e suggerisce un operatore sofisticato con necessità di movimento laterale.

Il trend emergente che lega questi attori è la convergenza verso le credenziali email come bersaglio prioritario: APT32, StrelaStealer e Valak condividono questo focus. Per un analista di threat intelligence, un'organizzazione che osserva query anomale alle chiavi Outlook del Registro dovrebbe considerare sia scenari di spionaggio sia di compromissione da infostealer commodity, calibrando la risposta sulla base del contesto geopolitico e del settore della vittima.

Framework MITRE ATT&CK: tecnica T1552.002 (Credentials in Registry), tattica TA0006 (Credential Access). Gruppi: G0050 (APT32), G1039 (RedCurl). Software: S0075, S0194, S1022, S1183, S0266, S0476, S0331. Mitigazioni: M1027, M1026, M1047. Detection: DET0250/AN0694. Integrato con conoscenza professionale per tool e procedure operative.