Evasione tramite Exploit di Sicurezza: Exploitation for Defense Evasion (T1211)

L'obiettivo in laboratorio è simulare lo scenario in cui un processo di sicurezza viene compromesso, terminato o reso cieco tramite exploitation. Non serve un vero zero-day: bastano CVE note e ambienti vulnerabili controllati per riprodurre la catena.

Scenario 1 — Crash controllato di un processo EDR su Windows. In un lab Windows con Sysmon installato, il primo passo è identificare i processi difensivi attivi. Il comando PowerShell classico è:

Get-Process | Where-Object {$_.Path -like "C:\Program Files*"} | Select-Object Name, Id, Path

Questo restituisce i processi in esecuzione dalle directory tipiche degli agent di sicurezza. Per simulare un crash anomalo di un servizio difensivo senza exploit reale, si può usare il tool Process Hacker (open source) per iniettare un thread o terminare forzatamente il processo, monitorando gli eventi generati. In Sysmon, la terminazione del processo genera un evento con EventCode 5 (Process Terminated), mentre il caricamento di moduli non firmati nei processi difensivi produce EventCode 7 (Image Loaded).

Scenario 2 — Exploit di NX-OS in ambiente simulato. Il caso di Velvet Ant con CVE-2024-20399 su switch Cisco è particolarmente istruttivo. L'attaccante, già autenticato sulla CLI NX-OS, sfruttava la vulnerabilità per fuggire dalla shell ristretta e raggiungere il sistema operativo sottostante. In laboratorio, si può ricreare uno scenario analogo con GNS3 (open source) o EVE-NG (freemium), emulando device Cisco con firmware vulnerabile in rete isolata. L'esercizio consiste nell'autenticarsi via SSH, tentare l'escape dalla CLI e verificare se i log del device registrano l'operazione anomala.

Scenario 3 — Disabilitazione di auditd su Linux. Su una VM Linux con auditd configurato, si può testare cosa accade quando il daemon di audit viene terminato in modo anomalo:

kill -9 $(pidof auditd)

Questo simula l'effetto di un exploit che colpisce il daemon di auditing. Lo scenario successivo prevede di verificare la comparsa di gap nei log con ausearch -m DAEMON_END e correlare l'assenza di telemetria con le azioni eseguite nel frattempo.

Scenario 4 — Bypass delle protezioni macOS. Su macOS, Gatekeeper e XProtect possono essere oggetto di test con il framework Atomic Red Team (open source), che include test specifici per verificare l'esecuzione di binari non firmati e la risposta dei daemon di sicurezza Apple. Il comando per elencare i test disponibili:

Invoke-AtomicTest T1211 -ShowDetailsBrief

Se non esistono atomics specifici per questa tecnica, si può comunque simulare la terminazione di un agente EDR di terze parti e monitorare i log unificati di macOS con log show --predicate 'subsystem == "com.apple.securityd"' --last 1h.

La detection di questa tecnica ruota attorno a un principio semplice ma potente: monitorare la salute dei tuoi stessi strumenti di difesa. Se il tuo antivirus crasha, se il tuo agente EDR smette di inviare telemetria, se auditd muore senza spiegazione — quello è il segnale. Non stai cercando un payload specifico, ma l'assenza improvvisa di ciò che dovrebbe esserci.

Windows — Processi difensivi sotto attacco. Le log source principali sono WinEventLog:Security e WinEventLog:Sysmon. La strategia di detection prevede di mantenere una lista aggiornata dei processi difensivi dell'ambiente (parametro di tuning [DefensiveProcessList]) e monitorare tre condizioni: terminazioni anomale ripetute oltre una soglia configurabile ([CrashThreshold]), caricamento di moduli non firmati o fuori dai percorsi attesi ([AllowedModulePaths]), e correlazione temporale tra il crash di un processo di sicurezza e comportamenti evasivi successivi come la terminazione di servizi o la scomparsa di log.

In Sysmon, EventCode 7 (Image Loaded) con firma non valida su processi EDR è un indicatore ad alta fedeltà. Combinato con EventCode 1 (Process Create) che mostra processi figli inattesi da servizi di sicurezza, forma una regola di correlazione robusta. Il falso positivo più comune è l'aggiornamento dell'agent stesso, che può causare riavvii e caricamento di nuove DLL: la whitelist dei percorsi aggiornata riduce il rumore.

Linux — Il silenzio di auditd è il segnale. Le fonti sono auditd:SYSCALL e linux:syslog. Il parametro [WatchedBinaries] deve includere auditd, Falco, e qualsiasi agente AV/EDR installato. Pattern da cercare: segmentation fault nei log di sistema correlati a tentativi di privilege escalation da processi a basso privilegio, e gap improvvisi nel flusso di eventi audit. Un alert efficace monitora la continuità temporale dei log di audit — se ci sono buchi superiori a N secondi durante l'orario operativo, scatta la segnalazione.

macOS — Gatekeeper e XProtect. La telemetria viene dai log unificati (macos:unifiedlog) e da osquery (macos:osquery). Il focus è su processi non firmati che tentano operazioni privilegiate e su terminazioni anomale dei daemon di sicurezza Apple e di terze parti ([SecurityDaemons]). La soglia [UnsignedProcessThreshold] gestisce il volume di alert.

Cloud — IaaS e SaaS. Per ambienti AWS, CloudTrail è la fonte critica. Le API sensibili che disabilitano il monitoring (come StopLogging, DeleteTrail, DisableAlarmActions) vanno in una lista [CriticalAPIs] a monitoraggio stretto, con correlazione temporale: se una di queste API viene invocata e subito dopo il flusso di log si interrompe, la probabilità di exploitation è elevata. Per SaaS su Microsoft 365, il focus è su eventi di consent OAuth anomali e integrazioni applicative non previste ([MonitoredApps]), con soglia configurabile su [ConsentAnomalyThreshold].

L'analisi forense di un'exploitation for defense evasion parte da una domanda specifica: quando esattamente il software difensivo ha smesso di funzionare, e cosa è successo nell'intervallo di silenzio? La timeline si costruisce incrociando gli ultimi eventi generati dal software compromesso con le tracce lasciate dall'attaccante nei momenti immediatamente precedenti e successivi.

Artefatti Windows. Il punto di partenza è il registro eventi di sistema. Nei log di Sysmon, cercare l'ultimo EventCode 5 (Process Terminated) relativo ai processi difensivi, e risalire da lì agli EventCode 7 (Image Loaded) che mostrano moduli caricati nel processo prima della terminazione. DLL non firmate o caricate da percorsi inusuali (ad esempio dalla directory Temp dell'utente) sono artefatti chiave. Il Windows Error Reporting (WER) in C:\ProgramData\Microsoft\Windows\WER\ReportQueue può contenere crash dump del processo di sicurezza sfruttato, con informazioni sull'indirizzo di memoria dell'eccezione che ha causato il crash.

Il registro di sistema (SYSTEM hive) registra le modifiche ai servizi: un servizio EDR che passa da "Running" a "Stopped" senza un corrispondente evento di aggiornamento pianificato è un indicatore forte. L'analisi della Master File Table (MFT) con tool come MFTECmd (open source, parte della suite Eric Zimmerman Tools) permette di identificare file scritti su disco nell'intervallo di silenzio dei log.

Artefatti Linux. La priorità è ricostruire il momento esatto della morte di auditd o dell'agente di sicurezza. Il file /var/log/syslog o /var/log/messages registra i segfault dei processi, con il PID e l'indirizzo che ha causato il crash. Se auditd ha generato un evento DAEMON_END prima della terminazione, ausearch -m DAEMON_END lo recupera. I core dump, se abilitati (verificare con ulimit -c), possono essere analizzati con GDB (open source) per determinare la vulnerabilità sfruttata.

Per il caso specifico di Velvet Ant su Cisco NX-OS, gli artefatti sono diversi: i log del device di rete — se non sono stati cancellati — possono mostrare comandi eseguiti fuori dalla CLI ristretta. L'analisi del firmware dello switch con strumenti come Binwalk (open source) può rivelare modifiche al filesystem sottostante.

Artefatti macOS. I log unificati di macOS conservano gli eventi dei daemon di sicurezza. Il comando log show --predicate 'eventMessage contains "XProtect"' --last 24h permette di filtrare eventi relativi ai servizi di protezione. I crash report in /Library/Logs/DiagnosticReports/ contengono stack trace dei daemon terminati in modo anomalo.

La ricostruzione della timeline segue questo schema: ultimo evento valido del software difensivo → artefatto dell'exploit (crash dump, segfault, modulo anomalo) → gap nei log → primi eventi post-compromissione visibili da fonti alternative (netflow, DNS, log di rete). Il gap è la prova stessa dell'evasione riuscita.

I due gruppi associati a questa tecnica rappresentano profili operativi molto diversi, ma condividono un tratto comune: la capacità di identificare e sfruttare vulnerabilità specifiche nei meccanismi di difesa del bersaglio, piuttosto che nel software applicativo generico.

APT28 (noto anche come Fancy Bear, Sofacy) è tra i gruppi più documentati nel panorama delle minacce state-sponsored. Il loro utilizzo di CVE-2015-4902 per bypassare funzionalità di sicurezza rientra in un pattern operativo consolidato: APT28 integra exploit per defense evasion come componente strutturale delle proprie catene d'attacco, non come tecnica occasionale. La vulnerabilità in questione colpiva il meccanismo di sicurezza Click-to-Play di Java, permettendo l'esecuzione di applet senza interazione dell'utente. Questo profilo suggerisce un investimento sistematico nella ricerca di bypass per i controlli di sicurezza lato client, coerente con campagne di spear-phishing che richiedono l'esecuzione di codice sul terminale della vittima.

Velvet Ant presenta un profilo operativo distinto e particolarmente sofisticato. Lo sfruttamento di CVE-2024-20399 su switch Cisco NX-OS rivela una capacità rara: operare a livello di infrastruttura di rete, non solo sugli endpoint. L'attaccante, già autenticato sul dispositivo, ha usato la vulnerabilità per evadere dalla CLI ristretta e accedere al sistema operativo sottostante. Questo indica una fase di post-exploitation avanzata dove il gruppo aveva già compromesso le credenziali di gestione degli switch, e cercava persistenza e evasione a un livello dove la maggior parte degli strumenti difensivi non ha visibilità.

Dal punto di vista dell'analista TI, emergono due pattern distinti. Il primo è l'exploit lato client per bypass dei controlli di sicurezza (APT28): il vettore è il workstation dell'utente, l'obiettivo è disabilitare o aggirare le protezioni locali per permettere l'esecuzione del payload successivo. Il secondo è l'exploit su infrastruttura di rete per evasione completa (Velvet Ant): il vettore è il dispositivo di rete stesso, e l'obiettivo è operare in uno strato dove EDR e SIEM tradizionali non generano telemetria.

La raccomandazione operativa per i team TI è duplice. Primo, mantenere un inventario aggiornato delle CVE che colpiscono il proprio stack di sicurezza — non solo il software applicativo — e priorizzare il patching di queste vulnerabilità sopra tutte le altre, perché un exploit sul software difensivo ha un moltiplicatore di impatto: rende invisibile tutto ciò che segue. Secondo, estendere il monitoraggio delle minacce ai dispositivi di rete e alle piattaforme cloud, dove gruppi come Velvet Ant hanno dimostrato di saper operare con efficacia. Le piattaforme di threat intelligence come MISP (open source) e OpenCTI (open source) permettono di tracciare le CVE associate a questa tecnica e correlare nuove vulnerabilità sui prodotti di sicurezza con i gruppi noti.

Framework MITRE ATT&CK v16 — Tecnica T1211 (Exploitation for Defense Evasion), Tattica TA0005, Gruppi G1047, G0007, Mitigazioni M1050, M1051, M1019, M1048, Detection DET0595. Integrato con conoscenza professionale per tool e procedure operative.