Finestre Invisibili: Hidden Window (T1564.003)

La simulazione di finestre nascoste è fra le più accessibili da replicare in laboratorio, perché non richiede exploit né privilege escalation. L'obiettivo primario del red teamer è verificare se gli strumenti di detection del Blue Team rilevano l'occultamento della GUI, e quali varianti lo eludono.

Il punto di partenza su Windows è il classico parametro PowerShell. Esegui da un terminale standard:

powershell.exe -WindowStyle Hidden -Command "Start-Sleep -Seconds 120"

Questo comando lancia un processo PowerShell completamente invisibile al desktop per due minuti, tempo sufficiente a verificare la visibilità nei log Sysmon. L'abbreviazione -W Hidden è altrettanto funzionale e viene usata in the wild da diversi gruppi APT per ridurre la lunghezza della command line.

Per testare la variante .NET, più comune nei RAT moderni, crea uno script C# minimale che sfrutta ProcessStartInfo con la proprietà WindowStyle impostata a ProcessWindowStyle.Hidden. Puoi compilare in lab con il compilatore integrato di Windows:

csc.exe /out:hidden_test.exe hidden_test.cs

La tecnica basata su registro è meno nota ma altrettanto insidiosa. Consiste nel modificare la chiave WindowPosition sotto il percorso di registro della console PowerShell per impostare coordinate fuori schermo. In laboratorio puoi riprodurla con:

reg add "HKCU\Console%SystemRoot%_System32_WindowsPowerShell_v1.0_PowerShell.exe" /v WindowPosition /t REG_DWORD /d 0xFFFFFFFF /f

Dopo la modifica, ogni nuova istanza di PowerShell si aprirà in coordinate non visibili. È una persistence subtécnica: la finestra esiste, ma l'utente non la vedrà mai.

Per simulare lo scenario hVNC, l'approccio più sicuro in lab è usare la API CreateDesktop() di Windows. Tool come Cobalt Strike (a pagamento) offrono moduli hVNC nativi, ma per un test indipendente puoi scrivere un piccolo programma C che chiami CreateDesktopW, crei un desktop secondario e vi lanci un explorer.exe. I processi su quel desktop risulteranno invisibili al desktop principale.

Su macOS la simulazione passa per la modifica di un file plist. Crea un'app bundle di test e aggiungi il tag LSUIElement impostato a true nel file Info.plist: l'applicazione non comparirà nel Dock. Per le applicazioni Java legacy, il flag equivalente è apple.awt.UIElement.

Un ulteriore vettore documentato è l'uso di cmd.exe come processo padre abbinato a un LOLBin come DeviceCredentialDeployment.exe per nascondere la finestra. In lab, verifica se la catena parentale anomala viene rilevata dal tuo EDR.

Tool consigliati per l'automazione:

• Atomic Red Team (open source) — include test atomici specifici per T1564.003
• Cobalt Strike (a pagamento) — modulo hVNC per desktop nascosti
• Koadic (open source) — C2 che utilizza nativamente -WindowStyle Hidden

La detection di Hidden Window si gioca quasi interamente sull'analisi della command line e sulle chiamate API a runtime. La buona notizia è che la maggior parte delle varianti lascia tracce evidenti nei log di processo — a patto di raccoglierli correttamente.

La log source imprescindibile è Sysmon (open source, Microsoft Sysinternals). L'Event ID 1 (Process Create) cattura la command line completa del processo figlio, ed è qui che appaiono i flag rivelatori. La regola base deve intercettare le stringhe -WindowStyle Hidden, -W Hidden, -WindowStyle h e varianti con case misto nella command line di powershell.exe, pwsh.exe e wscript.exe. Attenzione ai falsi positivi: molti strumenti di amministrazione legittimi (SCCM, script GPO, task di deployment) usano il parametro hidden per non disturbare gli utenti. Il tuning consigliato prevede di restringere l'alert ai processi in cui l'esecuzione nascosta è inattesa e di correlare con il processo padre.

Per la variante .NET (ProcessWindowStyle.Hidden, CreateNoWindow = true), il monitoraggio della command line non basta. Serve un EDR capace di ispezionare le proprietà di ProcessStartInfo a runtime oppure, in alternativa, regole Sysmon che correlino l'Event ID 1 con l'assenza di una finestra visibile e una parentela sospetta (ad esempio cmd.exe → DeviceCredentialDeployment.exe).

Le chiamate API ShowWindow e CreateDesktop richiedono telemetria più profonda. Sysmon Event ID 10 (Process Access) e l'Event ID 8 (CreateRemoteThread) possono fornire segnali complementari, ma la vera detection dell'hVNC passa per soluzioni EDR che monitorino le API Win32 a livello kernel. Se il budget lo permette, abilita il logging delle API tramite ETW (Event Tracing for Windows) sul provider Microsoft-Windows-Win32k.

La modifica del registro per spostare finestre off-screen si rileva con Sysmon Event ID 13 (Registry Value Set). La regola deve filtrare per il percorso della chiave Console\ sotto HKCU e per il valore WindowPosition con dati anomali (valori molto alti o 0xFFFFFFFF).

Su macOS, il Unified Log è la fonte primaria. Monitora le modifiche ai file plist, in particolare l'aggiunta del flag LSUIElement o apple.awt.UIElement in bundle applicativi non presenti nella allowlist. La correlazione con l'utente che effettua la modifica è fondamentale per ridurre i falsi positivi.

Su Linux (con ambiente grafico), auditd cattura le syscall execve nei log EXECVE e SYSCALL. Concentrati sui contesti GUI interattivi: alert su sessioni X11/Wayland che creano finestre non visualizzate sul display attivo risultano sensati solo su workstation, non su server headless.

Checklist di implementazione rapida:

• Sysmon Event ID 1 con filtro command line per -WindowStyle e varianti
• Sysmon Event ID 13 per modifiche a HKCU\Console\*\WindowPosition
• EDR con monitoraggio API CreateDesktop, ShowWindow
• macOS Unified Log per modifiche plist con UIElement
• Correlazione processo padre ↔ processo figlio per parentele anomale

L'analisi forense di Hidden Window richiede un approccio a strati: gli artefatti primari risiedono nella command line dei processi, ma le tracce di supporto si distribuiscono tra registro, file system e telemetria API.

Il punto di partenza su Windows è il log Sysmon, se era attivo al momento dell'incidente. L'Event ID 1 conserva la command line integrale, e la presenza di -WindowStyle Hidden o -W Hidden è l'indicatore più diretto. Quando Sysmon non è disponibile, il fallback è il Windows Security Log con l'Event ID 4688 (a patto che l'audit di Process Creation con command line logging fosse abilitato via GPO). Ricostruisci la catena parentale: un powershell.exe -W Hidden lanciato da mshta.exe o da cmd.exe con padre DeviceCredentialDeployment.exe ha un significato radicalmente diverso rispetto a uno lanciato da sccm_agent.exe.

Per la variante registry-based, esamina la chiave HKCU\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_PowerShell.exe e il valore WindowPosition. Se il dato è impostato a 0xFFFFFFFF o a un valore che proietta la finestra fuori dal range di risoluzione dello schermo, è un indicatore forte. La timeline del registro si ricostruisce tramite le celle-chiave dell'hive NTUSER.DAT: ogni chiave ha un LastWriteTime che consente di collocare la modifica nella sequenza degli eventi. Usa RegRipper (open source) o Registry Explorer di Eric Zimmerman (gratuito) per l'analisi.

Le sessioni hVNC lasciano artefatti peculiari. La chiamata CreateDesktop() genera un desktop secondario con il proprio explorer.exe. Se il sistema è stato acquisito con una memory image, cerca processi explorer.exe multipli con desktop handle differenti tramite Volatility 3 (open source). Il plugin windows.pslist mostra tutti i processi, ma per distinguere il desktop di appartenenza è necessario analizzare il campo SessionId e il token di sicurezza.

Su macOS, il file plist dell'applicazione sospetta è l'artefatto centrale. Il flag LSUIElement o apple.awt.UIElement impostato a true in un bundle non riconosciuto merita attenzione. Il timestamp di modifica del plist, incrociato con i log FSEvents e l'Unified Log, consente di posizionare l'evento nella timeline. Usa plutil nativo per il parsing:

plutil -p /path/to/Info.plist

Su Linux, se auditd era configurato, i log EXECVE riportano il comando completo e i parametri. Cerca invocazioni di xdotool, xdg-open o wrapper che redirigano l'output grafico verso display virtuali (DISPLAY=:99) — segnale di attività nascosta.

Artefatti chiave per la timeline:

• Prefetch (Windows): conferma l'esecuzione di powershell.exe con timestamp di primo e ultimo avvio
• Amcache/Shimcache: registra l'esecuzione di binari anche se i log eventi sono stati cancellati
• NTUSER.DAT: LastWriteTime della chiave Console per la variante off-screen
• Memory dump: processi explorer.exe su desktop multipli per hVNC

Strumenti raccomandati: Volatility 3 (open source) per l'analisi memoria, Hayabusa (open source) per il fast triage dei log Windows, KAPE (gratuito) per la raccolta rapida degli artefatti forensi.

La tecnica T1564.003 ha una distribuzione geografica e operativa ampia, segno che nascondere le finestre è un'esigenza universale: dal cyber-espionage al cybercrime finanziario. L'analisi dei 16 gruppi documentati rivela pattern significativi.

APT28 (Russia, cyber-espionage) utilizza il parametro WindowStyle per occultare finestre PowerShell, coerentemente con il suo approccio che privilegia l'uso di strumenti nativi dell'OS (living-off-the-land) per minimizzare le tracce su disco. La stessa tecnica nella stessa forma è condivisa da APT3 (Cina), APT19 (Cina) e APT32 (Vietnam), tutti orientati allo spionaggio ma con target geografici diversi. Questa convergenza suggerisce che il parametro -WindowStyle Hidden è un building block talmente basilare da essere adottato indipendentemente dal livello di sofisticazione dell'attore.

FIN7, operatore finanziario tra i più prolifici, si distingue per aver usato file .txt per occultare comandi PowerShell — un approccio leggermente diverso che combina Hidden Window con obfuscation. Kimsuky (Corea del Nord) aggiunge una dimensione interessante: oltre al classico -WindowStyle Hidden, ha impiegato un modulo specifico per nascondere la finestra del software antivirus alla vittima, trasformando la tecnica da evasione passiva a sabotaggio attivo della difesa.

Gamaredon Group (Russia/Ucraina) si differenzia per l'uso di hidcon, uno strumento che nasconde le finestre console per l'esecuzione di batch file, affiancato da PowerShell hidden. La doppia implementazione suggerisce ridondanza operativa. ToddyCat, gruppo orientato allo spionaggio in Asia, e DarkHydrus, attivo in Medio Oriente, replicano il pattern PowerShell standard.

Medusa Group e il corrispondente Medusa Ransomware rappresentano l'applicazione della tecnica nel contesto estorsivo: la API ShowWindow viene usata per rendere invisibile il processo durante la fase di cifratura, guadagnando tempo prima che la vittima si accorga dell'attacco. Lo stesso approccio API-based è usato da AvosLocker, altro ransomware che sfrutta ShowWindow per nascondere la console.

Sul fronte dei tool, WarzoneRAT e TrickBot portano la tecnica al livello superiore con sessioni hVNC complete, che creano un desktop nascosto parallelo. Questo pattern è particolarmente insidioso nel settore bancario, dove l'operatore può navigare sessioni di online banking in tempo reale senza che la vittima noti anomalie sullo schermo.

Pattern predittivi per il threat hunting: qualsiasi gruppo che adotti PowerShell come vettore primario di delivery quasi certamente implementerà Hidden Window. Per gli operatori ransomware, cercate la combinazione ShowWindow API + cifratura su disco. Per lo spionaggio, il segnale è la co-occorrenza di -WindowStyle Hidden con download di payload da C2 — comportamento documentato in HAMMERTOSS, KeyBoy e PowerShower, quest'ultimo particolarmente sofisticato nell'usare il registro per posizionare la finestra off-screen come meccanismo di persistenza.

Framework MITRE ATT&CK v16 — Tecnica T1564.003 (Hidden Window), Tattica TA0005 (Defense Evasion). Mitigazioni M1038, M1033. Detection DET0128 con analitiche AN0360, AN0361, AN0362. Tool di detection: Sysmon, Hayabusa, Volatility 3, RegRipper, Registry Explorer, KAPE. Integrato con conoscenza professionale per tool e procedure operative.