Blocco degli Indicatori: Indicator Blocking (T1562.006)

L'obiettivo in laboratorio è dimostrare al blue team che la telemetria può essere disattivata senza generare alert, se le detection non sono calibrate. Il primo vettore da testare è il patching in-memory di ETW: molti framework C2 lo fanno in automatico, ma capire il meccanismo sottostante è fondamentale.

La tecnica classica consiste nel sovrascrivere la funzione EtwEventWrite in ntdll.dll con un'istruzione di ritorno immediato (ret). In un contesto di test si può usare Brute Ratel C4 (a pagamento), che integra nativamente sia il bypass ETW sia il patching AMSI. In alternativa, il modulo PowerShell di SharPersist (open source) o semplici script C# caricati via reflection permettono lo stesso risultato.

Per simulare la manipolazione del Registry, il percorso più diretto è modificare il valore File nella chiave di configurazione del Security Event Log:

reg add "HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Security" /v File /t REG_EXPAND_SZ /d "C:\Windows\Temp\decoy.evtx" /f

Questa modifica reindirizza i log di sicurezza verso un file arbitrario, con effetto immediato e senza reboot. Il blue team che monitora solo il percorso standard perderà ogni evento. Per il canale ETW, il cmdlet nativo è altrettanto efficace:

Set-EtwTraceProvider -Guid "{GUID-del-provider}" -AutologgerName "EventLog-Security" -Enabled 0

Su Linux la simulazione punta a syslog. Un attaccante può fermare il demone con systemctl stop rsyslog oppure riconfigurare la destinazione dei log editando /etc/rsyslog.conf. Su ambienti ESXi il comando documentato è:

esxcli system syslog config set --loghost="" esxcli system syslog config reload

Questi due comandi azzerano l'host di destinazione syslog, isolando l'hypervisor da qualsiasi piattaforma di raccolta centralizzata.

Per un test completo, vale la pena concatenare il blocco degli indicatori con un'azione rumorosa (creazione utente, dump LSASS) e verificare se il SOC riceve l'alert. Se la catena di logging è stata interrotta correttamente, il silenzio sarà totale — ed è esattamente il punto che il report deve evidenziare.

Un tool utile per l'assessment è ETWSilencer (open source), uno strumento che filtra selettivamente i provider ETW intercettando le chiamate di scrittura. Va utilizzato esclusivamente in ambienti autorizzati e isolati.

Il paradosso del blocco indicatori è che bisogna rilevare l'assenza di qualcosa. Non è un evento anomalo a far scattare l'alert, ma la scomparsa di eventi attesi. Questo richiede un approccio di detection basato su heartbeat e canary events oltre che sulla classica correlazione.

Windows — Registry e ETW (AN0667)

La prima linea di difesa è il monitoraggio delle chiavi di registro critiche. Sysmon EventCode 13 (Registry Value Set) cattura le modifiche ai percorsi HKLM\SYSTEM\CurrentControlSet\Services\EventLog\* e alle chiavi degli Autologger ETW. La detection va configurata per correlare queste modifiche con il processo sorgente: se a modificare il valore File del Security EventLog è powershell.exe o un processo non firmato, la priorità sale immediatamente.

Per il patching in-memory di ETW, il segnale migliore è Sysmon EventCode 10 (Process Access) con richieste di accesso in scrittura a ntdll.dll all'interno di processi non di sistema. I log source principali sono:

• WinEventLog:Sysmon — EventCode 10, 13
• WinEventLog:Security — EventID 4657 (audit delle modifiche Registry, richiede policy di auditing abilitata)

Il tuning è critico: va costruita una whitelist delle modifiche amministrative legittime (aggiornamenti Sysmon, configurazione GPO) basata sui parametri AuthorizedConfigChanges e MonitoredETWProviders per evitare falsi positivi nelle finestre di manutenzione.

Linux e ESXi (AN0668 / AN0670)

Su Linux il monitoraggio si appoggia ad auditd con regole sui syscall kill e execve che coinvolgono i processi syslog. Una regola auditd come:

-w /etc/rsyslog.conf -p wa -k syslog_tamper

cattura ogni scrittura o modifica degli attributi del file di configurazione. Il parametro di tuning SyslogServiceName va adattato alla distribuzione (rsyslog, syslog-ng, journald). Su ESXi, i log esxi:hostd registrano l'esecuzione dei comandi esxcli: correlare l'invocazione di syslog config set con l'assenza successiva di forward syslog è il pattern da cercare.

L'approccio heartbeat è trasversale a tutte le piattaforme: se un host smette di inviare log per un intervallo superiore a una soglia definita (tipicamente 5-10 minuti), il SIEM deve generare un alert di tipo "log source silent". Strumenti come Elastic Stack (open source, con distribuzione base) o Splunk (a pagamento) offrono funzionalità native di monitoraggio dello stato delle sorgenti.

La sfida forense con il blocco degli indicatori è ricostruire ciò che è stato deliberatamente cancellato o deviato. La buona notizia è che le tracce della manipolazione stessa sopravvivono quasi sempre, anche quando i log successivi non sono stati raccolti.

Artefatti Registry su Windows

Il punto di partenza è l'analisi degli hive di registro. Il file SYSTEM contiene i valori correnti delle chiavi EventLog e degli Autologger ETW. Confrontare il valore File nella chiave Services\EventLog\Security con il percorso standard (%SystemRoot%\System32\Winevt\Logs\Security.evtx) rivela immediatamente un reindirizzamento. Lo strumento RegRipper (open source) con il plugin services permette di estrarre rapidamente queste informazioni.

Per ricostruire quando la modifica è avvenuta, il registro di transazione (file .LOG1 e .LOG2 associati all'hive) e i timestamp delle chiavi offrono una finestra temporale. Se il sistema aveva Sysmon attivo prima della manomissione, i log EventCode 13 residui nel file .evtx originale documentano l'ultimo istante di telemetria integra — il "punto di cecità" da cui parte il gap investigativo.

Memoria e patching ETW

Se è disponibile un dump di memoria, tool come Volatility 3 (open source) permettono di cercare hook o patch sulla funzione EtwEventWrite in ntdll.dll. Il confronto tra la versione su disco e quella in memoria rivela sovrascritture sospette. HermeticWiper disabilitava i crash dump modificando la chiave CrashDumpEnabled a zero: verificare questo valore nell'hive SYSTEM è un controllo rapido che può confermare o escludere questa variante.

Linux ed ESXi

Su Linux, il file /etc/rsyslog.conf (e la directory /etc/rsyslog.d/) conserva la configurazione corrente. Il filesystem journaling (ext4) mantiene i metadati di modifica: con stat /etc/rsyslog.conf si ottiene il timestamp dell'ultima scrittura. I log auditd, se erano attivi, registrano chi ha eseguito la modifica tramite i record SYSCALL ed EXECVE.

Su ESXi, il file di configurazione syslog risiede in /etc/vmsyslog.conf e nelle impostazioni persistenti in /etc/vmware/. I log del demone hostd documentano l'esecuzione dei comandi esxcli, incluso syslog config set. BOLDMOVE, documentato in questo contesto, disabilitava i demoni moglogd e syslogd su appliance Fortinet: un pattern analogo dove la prima azione dell'attaccante è spegnere il logging locale.

La timeline va costruita incrociando il momento dell'ultima telemetria ricevuta dal SIEM con gli artefatti locali di manomissione: il delta tra questi due punti è la finestra operativa dell'attaccante.

Il blocco degli indicatori non è una tecnica isolata: è un enabler che precede e abilita tutto ciò che segue. I profili dei gruppi e dei software associati rivelano pattern operativi distinti, ciascuno con implicazioni diverse per il posizionamento difensivo.

APT41 ha sviluppato un injector custom che implementa un bypass ETW, rendendo i processi malevoli invisibili al logging Windows. Questo è coerente con il profilo del gruppo: un attore con capacità di sviluppo software avanzate che opera sia in operazioni di spionaggio sia in campagne a finalità finanziaria. L'investimento in un tool dedicato al bypass ETW indica che il gruppo si aspetta di operare in ambienti con telemetria matura — e pianifica di conseguenza.

APT5 utilizza un approccio diverso con CLEANPULSE, un'utility che inserisce stringhe nella command line di processi bersaglio per impedire la generazione di specifici eventi di log. Mentre APT41 agisce a livello di runtime patching, APT5 interviene sulla logica applicativa del processo target. Il focus su appliance di rete (coerente con l'uso documentato di BOLDMOVE che disabilita i demoni di logging Fortinet) suggerisce che questo gruppo privilegia target infrastrutturali dove il logging è meno presidiato.

Il panorama software offre spunti tattici significativi. HUI Loader combina il bypass ETW con la disabilitazione AMSI, una coppia ormai standard nella catena di evasion. Brute Ratel C4 fa lo stesso ma come framework commerciale, abbassando la barriera d'ingresso per attori meno sofisticati. Waterbear mostra un livello di raffinatezza superiore, hookando API come ZwOpenProcess e GetExtendedTcpTable per nascondere PID e connessioni TCP ai prodotti di sicurezza — un approccio che va oltre il semplice blocco del logging e manipola la visibilità a livello di sistema operativo.

Sul fronte cross-platform, Ebury su Linux hooka funzioni di sistema come readdir, stat e open per rendere invisibili file, processi e socket malevoli. Il pattern è chiaro: tanto su Windows quanto su Linux, gli attori avanzati non si limitano a fermare i log ma alterano la percezione stessa del sistema operativo.

La convergenza di questi indicatori suggerisce due trend: la commoditizzazione del bypass ETW (da tecnica APT a feature standard dei C2 commerciali) e l'estensione del blocco indicatori alle piattaforme non-Windows, con ESXi e appliance di rete come superfici in rapida crescita.

Framework MITRE ATT&CK v16 — T1562.006 (Indicator Blocking), TA0005 (Defense Evasion). Gruppi: G0096 (APT41), G1023 (APT5). Software: S0697, S1065, S1097, S1063, S0377, S1184, S1200, S0579. Mitigazioni: M1022, M1054, M1018. Detection: DET0239 (AN0667–AN0670). Integrato con conoscenza professionale per tool e procedure operative.