Disabilitare i Log Windows: Impair Defenses - Disable Windows Event Logging (T1562.002)

La simulazione di questa tecnica richiede un approccio metodico per comprendere i diversi vettori di attacco disponibili. Il punto di partenza più diretto coinvolge la manipolazione del servizio EventLog attraverso PowerShell.

Set-Service -Name EventLog -Status Stopped seguito da Stop-Service -Name EventLog rappresenta l'approccio più immediato. Tuttavia, questa tecnica lascia tracce evidenti nei log di sistema prima della disabilitazione.

Un approccio più sofisticato sfrutta la riga di comando: sc config eventlog start=disabled modifica la configurazione del servizio rendendo la disabilitazione persistente al riavvio. Questa tecnica è stata osservata in contesti reali dove l'attaccante cerca di mantenere la persistenza.

La manipolazione del registry offre vettori più subdoli. Senza privilegi amministrativi, è possibile modificare la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security cambiando il valore "Start". Questa modifica richiede un riavvio per essere efficace ma passa spesso inosservata.

Con privilegi elevati, le possibilità si espandono. Le chiavi EventLog-System e EventLog-Application nello stesso percorso permettono di disabilitare l'intero sistema di logging. Magic Hound ha dimostrato l'efficacia di script automatizzati per questa tecnica.

L'uso di auditpol rappresenta un approccio particolarmente insidioso: auditpol /set /category:"Account Logon" /success:disable /failure:disable

Questo comando disabilita selettivamente categorie specifiche di audit, permettendo all'attaccante di nascondere solo le attività rilevanti. La pulizia completa delle policy si ottiene con auditpol /clear /y o auditpol /remove /allusers.

Wevtutil emerge come tool versatile per la disabilitazione mirata di log specifici, permettendo un controllo granulare su quali eventi continuare a registrare e quali silenziare.

La detection efficace richiede un approccio multilivello che monitora sia le modifiche dirette al servizio che i cambiamenti indiretti attraverso registry e policy. Il focus deve essere sulla correlazione temporale degli eventi sospetti.

Il monitoraggio del servizio EventLog attraverso i log di sistema (EventCode 7040 per cambi di stato del servizio) rappresenta la prima linea di difesa. Quando un servizio critico come EventLog passa da "running" a "stopped", l'alert deve scattare immediatamente.

Le modifiche al registry richiedono particolare attenzione. Sysmon con la regola 13 cattura le modifiche alle chiavi Autologger. La correlazione tra modifiche registry e riavvii di sistema entro finestre temporali definite aumenta la confidenza del detection.

Il tracking dei comandi auditpol e wevtutil attraverso il log di Security (EventCode 4688 con command line logging abilitato) permette di identificare tentativi di manipolazione delle policy. Pattern come "/clear", "/remove", o "/disable" devono generare alert ad alta priorità.

Un indicatore sottile ma efficace riguarda le anomalie nella sequenza dei Record Number nei log. Gap improvvisi o reset inaspettati suggeriscono manipolazione. Threat Group-3390 è stato identificato proprio attraverso queste anomalie dopo l'uso di appcmd.exe.

La baseline del comportamento normale è cruciale. Account amministrativi che improvvisamente eseguono comandi di audit policy fuori dagli orari di manutenzione rappresentano un'anomalia da investigare. La correlazione con altri indicatori come nuovi processi o connessioni di rete anomale aumenta la precisione.

L'analisi forense di un sistema dove i log sono stati disabilitati richiede creatività e attenzione ai dettagli residuali. Anche quando il logging principale è compromesso, tracce significative persistono in location alternative.

Il Prefetch di Windows mantiene evidenze dell'esecuzione di auditpol.exe, wevtutil.exe e altri tool utilizzati. I timestamp di questi file aiutano a ricostruire quando l'attaccante ha tentato la disabilitazione. L'analisi del Master File Table può rivelare quando questi eseguibili sono stati acceduti.

Le modifiche al registry lasciano tracce nel sistema anche dopo la disabilitazione dei log. I file di backup del registry in RegBack possono contenere stati precedenti delle chiavi Autologger. Il confronto tra versioni successive rivela la timeline delle modifiche.

Durante SolarWinds Compromise, gli analisti hanno ricostruito l'uso di AUDITPOL attraverso l'analisi della memoria volatile dove i comandi rimanevano in buffer. La cattura tempestiva della RAM permette di recuperare comandi eseguiti anche dopo la cancellazione dei log.

Gli artefatti di esecuzione nel registro UserAssist e ShimCache documentano l'uso di tool amministrativi. Questi database binari sopravvivono alla disabilitazione del logging tradizionale e forniscono timestamp preziosi.

Nel caso di HomeLand Justice, la deletion di Windows events e application logs ha lasciato comunque tracce nei Volume Shadow Copy. L'analisi delle snapshot precedenti ha permesso di recuperare porzioni di log cancellati e identificare il momento preciso della compromissione.

L'analisi delle campagne documentate rivela pattern distintivi nell'uso di questa tecnica. APT29 durante SolarWinds Compromise ha dimostrato un approccio metodico: prima la ricognizione dei sistemi di logging, poi la disabilitazione selettiva attraverso AUDITPOL, infine l'esfiltrazione dei dati.

Sandworm Team nell'attacco del 2016 alle infrastrutture elettriche ucraine ha integrato la disabilitazione dei log direttamente nel malware Industroyer. Questo approccio automatizzato suggerisce operazioni su larga scala dove la manualità non è praticabile.

Gli attori iraniani dietro HomeLand Justice hanno mostrato una timeline estesa: 14 mesi di persistenza prima dell'attacco distruttivo. La disabilitazione graduale dei log ha permesso loro di operare indisturbati, cancellando evidenze mentre mantenevano l'accesso.

I pattern geografici emergono chiaramente. Gli attori russi (APT29, Sandworm) preferiscono l'integrazione della tecnica in framework malware complessi. Gli iraniani mostrano un approccio più manuale ma persistente, con focus sulla cancellazione post-compromissione.

L'overlap nei tool è significativo. Wevtutil appare trasversalmente in molteplici campagne, suggerendo la sua efficacia e disponibilità. La transizione da tecniche manuali a script automatizzati indica maturità crescente degli attori.

La previsione delle evoluzioni punta verso l'uso di tecniche living-off-the-land sempre più sofisticate. L'abuso di tool legittimi di amministrazione continuerà ad essere preferito rispetto a malware custom per questa specifica tecnica.

Framework MITRE ATT&CK T1562.002. Campagne documentate: SolarWinds Compromise (C0024), 2016 Ukraine Electric Power Attack (C0025), HomeLand Justice (C0038). Detection patterns da SIGMA rule DET0187 per Windows event logging tampering.