Credenziali nel Registro: Unsecured Credentials: Credentials in Registry (T1552.002)

L'enumerazione del registro per credenziali inizia con comandi nativi di Windows che non richiedono privilegi elevati. Il comando più diretto cerca la parola "password" nell'intero hive della macchina locale:

reg query HKLM /f password /t REG_SZ /s

Per l'hive dell'utente corrente, la sintassi rimane identica ma punta a HKCU:

reg query HKCU /f password /t REG_SZ /s

PowerSploit offre moduli specializzati che automatizzano la ricerca in posizioni note. Il modulo Get-RegistryAutoLogon estrae credenziali di accesso automatico, mentre Get-UnattendedInstallFile recupera password dai file di installazione non presidiata memorizzati nel registro.

Per simulare l'approccio di APT32, implementa uno script che enumeri sistematicamente le chiavi di Outlook nel registro. Il gruppo ha utilizzato Outlook Credential Dumper per estrarre credenziali email che potrebbero garantire accesso a comunicazioni aziendali critiche.

TrickBot dimostra un approccio più mirato cercando specificamente Software\SimonTatham\Putty\Sessions per credenziali SSH. Questo pattern di ricerca selettiva riduce il rumore e aumenta l'efficienza dell'estrazione.

In laboratorio, configura macchine virtuali con applicazioni comuni che storicamente memorizzano credenziali nel registro: client VPN, gestori FTP, software di accesso remoto. Esegui le query manualmente per comprendere la struttura dei dati, poi automatizza con script PowerShell che filtrano risultati irrilevanti.

La detection DET0250 richiede monitoraggio delle query al registro con filtri su parole chiave sensibili. Sysmon fornisce visibilità dettagliata attraverso l'EventCode 12 per la creazione e modifica di chiavi registro, mentre l'EventCode 13 cattura modifiche ai valori.

Configura regole che intercettino processi che accedono a percorsi registry noti per contenere credenziali. I falsi positivi saranno elevati inizialmente, quindi implementa whitelist basate sul processo padre: services.exe che accede al registro è normale, cmd.exe lanciato da winword.exe che fa query su password è anomalo.

StrelaStealer cerca specificamente in HKCU\SOFTWARE\Microsoft\Office\16.0\Outlook\Profiles per credenziali IMAP. Crea detection rule mirate su questi percorsi specifici con soglie basse, dato che l'accesso legittimo è raro.

Il tuning richiede analisi del ParentProcessFilter per distinguere comportamenti amministrativi legittimi da attività sospette. Un amministratore che usa reg.exe direttamente è diverso da powershell.exe spawned da excel.exe che esegue query registry.

Implementa correlazione temporale: se vedi query registry seguite da connessioni di rete verso IP esterni entro 5 minuti, l'alert priority aumenta. Questo pattern indica possibile esfiltrazione di credenziali appena scoperte.

L'analisi forense di questa tecnica inizia dall'esame dei Prefetch files di Windows. I file .pf per reg.exe e powershell.exe rivelano quando sono stati eseguiti e quali risorse hanno accesso, inclusi i percorsi registry interrogati.

L'USN Journal documenta ogni modifica al file system, inclusi accessi al registry hive files. Cerca pattern di accesso sequenziale a HKEY_LOCAL_MACHINE\SAM, SECURITY, e SOFTWARE che indicano enumerazione sistematica.

Agent Tesla lascia tracce distintive quando estrae credenziali: cerca modifiche al registry seguite immediatamente da creazione di file temporanei dove le credenziali vengono staged prima dell'esfiltrazione. L'analisi della $MFT rivela questi file anche se successivamente eliminati.

Per IceApple, l'approccio forense deve considerare che il malware può operare sia localmente che remotamente. Esamina i log di Windows Remote Registry service per identificare query provenienti da host compromessi nella rete.

La ricostruzione temporale deve collegare l'attività di discovery nel registry con successive autenticazioni usando le credenziali rubate. I Security Event Logs (Event ID 4624) mostrano login riusciti che potrebbero utilizzare credenziali estratte dal registry nelle ore precedenti.

Documenta ogni istanza dove trovi credenziali in chiaro nel registry durante l'analisi: anche se non utilizzate dall'attaccante, rappresentano vulnerabilità da remediate.

APT32 (Ocean Lotus) rappresenta il caso più documentato di utilizzo sistematico di questa tecnica. Il gruppo vietnamita ha sviluppato Outlook Credential Dumper specificamente per estrarre credenziali email dal registry, indicando focus su intelligence gathering attraverso comunicazioni aziendali.

RedCurl utilizza un approccio più generico con LaZagne, tool che automatizza l'estrazione da molteplici fonti incluso il registry. Questo suggerisce operazioni meno mirate ma più opportunistiche, tipiche di gruppi criminali motivati finanziariamente.

L'overlap nei tool mostra convergenza tattica: Valak include un modulo clientgrabber per credenziali email, simile all'approccio di APT32 ma in un contesto criminale. Questo indica che la tecnica trascende motivazioni e geografia.

PowerSploit appare sia in operazioni APT che criminali, evidenziando come tool pubblici facilitino l'adozione di questa tecnica. I moduli specifici per registry credential extraction sono maturi e affidabili, riducendo la barriera tecnica.

Il trend geografico mostra adozione globale ma con specializzazioni regionali. I gruppi dell'Europa dell'Est tendono verso tool automatizzati multi-purpose, mentre APT asiatici sviluppano capability custom per target specifici.

L'evoluzione prevede movimento verso credenziali di applicazioni cloud-based memorizzate localmente. Monitor per varianti che target token OAuth e credenziali di servizi SaaS cached nel registry di browser o client di sincronizzazione.

Framework MITRE ATT&CK T1552.002. Documentazione APT32 Outlook Credential Dumper e RedCurl LaZagne operations. Sysmon detection guidance per registry monitoring. NIST 800-53 controlli IA-5 per credential management.