Esecuzione via Servizi: Service Execution (T1569.002)

La creazione di servizi malevoli inizia con l'esplorazione delle opzioni disponibili. Su Windows, il comando classico utilizza sc.exe per creare un servizio personalizzato:

sc create MaliciousService binPath= "C:\Windows\Temp\payload.exe" start= auto

PsExec offre capacità di esecuzione remota creando servizi temporanei. L'attacco tipico prevede:

psexec.exe \target-host -accepteula -d -s C:\Temp\beacon.exe

Il flag -s garantisce l'esecuzione con privilegi SYSTEM, mentre -d impedisce l'attesa del completamento. Per simulare comportamenti APT più sofisticati, considera l'uso di servizi legittimi come wrapper. APT41 ha dimostrato questa tecnica utilizzando svchost.exe:

sc create StealthService binPath= "C:\Windows\System32\svchost.exe -k MyCustomGroup" type= share

Successivamente si modifica il registro per puntare alla DLL malevola nel gruppo di servizi. Su Linux, systemd offre possibilità simili attraverso file di unità personalizzati posizionati in /etc/systemd/system/.

Per testare la persistenza, combina l'esecuzione con modifiche al servizio esistente. Il comando net può fermare e riavviare servizi compromessi:

net stop LegitService copy malicious.exe "C:\Program Files\LegitService\service.exe" net start LegitService

Gli strumenti di red team come Cobalt Strike automatizzano queste tecniche. L'operatore può utilizzare il modulo psexec_psh per deployment remoto creando servizi con payload PowerShell codificati.

Il rilevamento efficace richiede correlazione tra molteplici fonti di log. Windows Event ID 7045 cattura la creazione di nuovi servizi, ma genera rumore in ambienti dinamici. La chiave sta nel filtrare comportamenti anomali.

Monitora process creation dove services.exe genera processi non standard. Sysmon Event ID 1 rivela quando services.exe spawna binari da directory temporanee o percorsi utente:

ParentImage: C:\Windows\System32\services.exe Image: C:\Users*\AppData**.exe

I servizi temporanei di PsExec mostrano pattern distintivi. Cercate nomi casuali come "PSEXESVC" seguiti da rapida cancellazione. La sequenza tipica include creazione servizio, esecuzione, e rimozione entro secondi.

Per ridurre i falsi positivi, mantieni una baseline dei servizi legittimi nell'ambiente. Software di deployment e strumenti amministrativi generano eventi simili ma con pattern prevedibili. Whitelista questi comportamenti documentando tool autorizzati e relativi hash.

La correlazione temporale aumenta l'accuratezza. Un servizio creato e cancellato entro 60 secondi indica probabile esecuzione malevola. Combina questa logica con analisi del binPath per servizi che puntano a eseguibili fuori dalle directory di sistema standard.

Registry monitoring complementa il rilevamento. Modifiche a HKLM\SYSTEM\CurrentControlSet\Services precedute da lateral movement o seguite da connessioni di rete anomale rafforzano l'indicatore di compromissione.

L'analisi forense dei servizi malevoli inizia dal registro eventi di sistema. Windows mantiene tracce dettagliate in System.evtx dove Event ID 7045, 7040 e 7036 documentano il ciclo di vita dei servizi.

Il registro di Windows preserva configurazioni anche dopo la cancellazione del servizio. Esamina HKLM\SYSTEM\ControlSet00X\Services per servizi rimossi ma ancora presenti nei ControlSet precedenti. I timestamp delle chiavi registro rivelano quando l'attaccante ha operato.

Wizard Spider ha dimostrato l'uso di batch script con PsExec per ransomware deployment. Cerca nel filesystem tracce di file batch temporanei in C:\Windows\Temp o nelle directory utente. Il prefetch di Windows può contenere evidenze di esecuzione anche se i file sono stati cancellati.

Per ricostruire l'attacco completo, correla i log di autenticazione (Event ID 4624) con la creazione servizi. Gli attaccanti spesso si autenticano da remoto prima di lanciare PsExec, creando una sequenza temporale distintiva.

Su Linux, journalctl preserva log di systemd incluse creazioni di unità. Il comando seguente estrae eventi rilevanti:

journalctl -u suspicious.service --since="2024-01-01"

Memory forensics può recuperare servizi in esecuzione non visibili attraverso API standard. Volatility's svcscan plugin identifica servizi nascosti confrontando strutture in memoria con output di query standard.

APT38 dimostra sofisticazione creando servizi personalizzati per mantenere persistenza in ambienti finanziari. Il gruppo modifica servizi esistenti piuttosto che crearne di nuovi, riducendo la visibilità. I loro tool preferiti includono loader custom che si mascherano come servizi di sistema legittimi.

FIN7 adotta un approccio più diretto, utilizzando sc start sshd per abilitare accesso remoto. Questo pattern suggerisce operatori con background in amministrazione Linux che applicano concetti familiari in ambiente Windows. La previsione indica probabili tentativi di installare OpenSSH su target Windows Server.

Wizard Spider rappresenta l'evoluzione ransomware-as-a-service. Il gruppo utilizza PsExec massivamente per propagare Ryuk e Conti attraverso domini compromessi. La loro infrastruttura suggerisce capacità di colpire centinaia di host simultaneamente attraverso script automatizzati.

I pattern geografici mostrano concentrazione di attività in Europa dell'Est per gruppi ransomware, mentre APT sponsorizzati da stati nazionali dell'Asia orientale preferiscono approcci più furtivi. APT41 combina motivazioni finanziarie e spionaggio, utilizzando servizi per mantenere accesso a lungo termine.

L'evoluzione tattica indica movimento verso "living off the land". I gruppi più maturi abbandonano PsExec per WMI e PowerShell remoting, riducendo dipendenza da tool esterni. Monitorare questa transizione aiuta a prevedere cambiamenti nelle TTP dei threat actor osservati.

Analisi basata su MITRE ATT&CK framework, documentazione di 16 gruppi APT inclusi APT38, FIN7, APT41, Wizard Spider. Riferimenti a campagne Operation Honeybee, Operation Wocao, APT41 DUST, SharePoint ToolShell Exploitation. Detection strategies da Event ID 7045, Sysmon, Windows Security logs.