Script di Logon per la Persistenza: Logon Script – Windows (T1037.001)

Il bello di questa tecnica è che la si può riprodurre in laboratorio con un solo comando. Non servono framework complessi: basta l'accesso a un prompt con i permessi dell'utente target.

Il metodo più diretto utilizza reg.exe, il tool nativo di Windows per la manipolazione del registro. Per inserire un logon script che punti a un payload, il comando è:

reg add "HKCU\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\Users\Public\payload.bat" /f

Il flag /f forza la scrittura senza richiedere conferma, utile per l'automazione in scenari red team. A questo punto, ogni login dell'utente corrente eseguirà payload.bat. In un esercizio realistico, quel batch potrebbe contenere una reverse shell o un loader che scarica il secondo stadio, esattamente come documentato per Cobalt Group, che registrava il file name del next-stage malware sotto questa chiave.

In alternativa, PowerShell offre lo stesso risultato con maggiore flessibilità:

Set-ItemProperty -Path "HKCU:\Environment" -Name "UserInitMprLogonScript" -Value "C:\Users\Public\payload.bat"

Per simulare un attacco più sofisticato — sulla scia di quanto osservato con APT28, che utilizzava un loader Trojan per scrivere la chiave — si può creare un dropper in PowerShell che prima deposita il payload, poi imposta la persistenza e infine pulisce le tracce della console:

$payloadPath = "C:\Users\Public\update.bat" Set-Content -Path $payloadPath -Value 'powershell -ep bypass -w hidden -f C:\Users\Public\stager.ps1' Set-ItemProperty -Path "HKCU:\Environment" -Name "UserInitMprLogonScript" -Value $payloadPath Clear-History

Per la validazione, si può usare Atomic Red Team (open source), che include un test atomico specifico per T1037.001. Il comando di esecuzione tramite il modulo PowerShell Invoke-AtomicRedTeam è:

Invoke-AtomicTest T1037.001

Questo imposta la chiave, simula il logon e poi offre la procedura di cleanup con Invoke-AtomicTest T1037.001 -Cleanup. È il modo più rapido per verificare che i controlli difensivi siano in grado di intercettare la modifica.

Al termine di ogni test, la verifica che la chiave sia stata correttamente rimossa è fondamentale:

reg query "HKCU\Environment" /v UserInitMprLogonScript

Se il comando restituisce un errore "impossibile trovare la chiave", il cleanup è andato a buon fine.

La detection di questa tecnica si basa su un concetto semplice: la chiave HKCU\Environment\UserInitMprLogonScript viene modificata raramente in ambienti enterprise legittimi. Qualsiasi scrittura su quel valore merita attenzione immediata.

La fonte primaria è Sysmon (gratuito, Microsoft Sysinternals). L'Event ID 13 (RegistryEvent – Value Set) cattura esattamente la modifica di valori nel registro. La regola Sysmon deve filtrare per il target path che contiene \Environment\UserInitMprLogonScript. Una configurazione efficace nel file XML di Sysmon è un tag <RegistryEvent onmatch="include"> con un filtro sul TargetObject che termini con Environment\UserInitMprLogonScript.

A livello di Security Event Log di Windows, il monitoraggio richiede che l'auditing del registro sia attivo. Il comando per abilitarlo è:

auditpol /set /subcategory:"Registry" /success:enable /failure:enable

Una volta abilitato, gli eventi EventCode 4657 nel canale Security segnalano modifiche ai valori monitorati. Per affinare, si può impostare una SACL (System Access Control List) specifica sulla chiave HKCU\Environment per generare eventi solo quando quel ramo viene toccato, riducendo il rumore.

Il secondo livello di detection — come indicato nelle analisi di riferimento — riguarda l'esecuzione post-autenticazione. Dopo il login, il sistema avvia lo script referenziato dalla chiave. Gli EventCode 4688 (Process Creation) nel canale Security, o l'Event ID 1 di Sysmon, mostreranno un processo figlio generato da userinit.exe o explorer.exe che punta a uno script inatteso. Il tuning suggerito è concentrarsi sui primi minuti dopo l'autenticazione e su path anomali: script che non risiedono in NETLOGON, SYSVOL o directory di policy aziendali sono sospetti per definizione.

Per la gestione dei falsi positivi, il contesto enterprise va considerato con attenzione. Alcune soluzioni di gestione desktop utilizzano legittimamente logon script via GPO, ma queste in genere risiedono in share di rete specifiche e ben documentate. Un alert che filtra per path locali (es. C:\Users\*, C:\Temp\*, %AppData%\*) ha un rapporto segnale/rumore molto più favorevole.

Infine, come controllo preventivo, la mitigazione Restrict Registry Permissions (M1024) suggerisce di limitare la capacità di scrittura sulla chiave HKCU\Environment. Tramite Group Policy Management Console (inclusa in Windows Server) si possono distribuire ACL restrittive, e con l'auditing attivo ogni tentativo fallito genererà un EventCode 4657 con esito "Failure", utile per identificare attività di ricognizione da parte dell'attaccante.

L'indagine forense su questa tecnica ruota attorno a tre artefatti principali: la chiave di registro, il file script referenziato e le tracce di esecuzione.

Il primo passo è acquisire l'hive di registro NTUSER.DAT dell'utente compromesso, che contiene il ramo HKCU. Con RegRipper (open source) si può estrarre rapidamente il valore della chiave:

rip.pl -r NTUSER.DAT -p environment

Il plugin environment enumera tutti i valori sotto \Environment, incluso UserInitMprLogonScript. Il timestamp dell'ultima modifica della chiave fornisce il primo punto della timeline: il momento in cui l'attaccante ha stabilito la persistenza. Questo timestamp corrisponde alla "LastWriteTime" della chiave padre Environment, poiché Windows aggiorna il timestamp a livello di chiave, non di singolo valore.

Il secondo artefatto è il file script stesso. Le sue proprietà NTFS — timestamp di creazione ($SI e $FN nella MFT), modifica e accesso — devono essere correlate con il timestamp della chiave di registro. Un pattern tipico mostra la creazione del file pochi secondi o minuti prima della modifica della chiave, coerentemente con un dropper che prima deposita il payload e poi configura la persistenza. Per l'analisi della MFT, strumenti come MFTECmd di Eric Zimmerman (open source) consentono di estrarre i timestamp con precisione al nanosecondo.

Il terzo livello riguarda le tracce di esecuzione. Ogni volta che l'utente ha effettuato il login dopo l'installazione della persistenza, lo script è stato eseguito. Gli artefatti che lo confermano includono:

• Prefetch: se il sistema ha Prefetch abilitato, il file .pf associato allo script interpreter (cmd.exe, powershell.exe, wscript.exe) conterrà riferimenti al file script nelle risorse caricate. PECmd (open source) di Eric Zimmerman è lo strumento ideale per il parsing.
• ShimCache / AppCompatCache: registra l'esecuzione di binari, estraibile con AppCompatCacheParser (open source).
• Amcache: l'hive Amcache.hve può contenere hash SHA1 del file eseguito, fondamentale per il matching con indicatori noti.

Per i malware documentati, il pattern è ricorrente. JHUHUGIT, Zebrocy e Attor utilizzano tutti la medesima chiave UserInitMprLogonScript, il che significa che l'analista deve cercare lo stesso artefatto. La differenza sta nel payload: KGH_SPY imposta la chiave come capacità modulare, il che suggerisce che il file referenziato potrebbe cambiare nel tempo. In questi casi, i backup delle Volume Shadow Copies possono rivelare versioni precedenti del file script, mostrando l'evoluzione del payload.

La correlazione finale va fatta con gli eventi di logon (EventCode 4624) nel Security log. Ogni Event ID 4624 con Logon Type 2 (interattivo) o 10 (RemoteInteractive) successivo alla modifica della chiave rappresenta un'esecuzione dello script malevolo, e quindi un punto di contatto con il C2 dell'avversario da indagare nel traffico di rete.

La chiave UserInitMprLogonScript è un indicatore di tradecraft condiviso tra attori con profili operativi molto diversi, il che ne rende l'attribuzione basata sulla sola tecnica insufficiente. Tuttavia, il contesto d'uso rivela pattern analiticamente utili.

APT28 (G0007), il gruppo associato a operazioni di cyber-espionage, utilizza questa tecnica attraverso un loader Trojan dedicato. La persistenza via logon script non è il meccanismo primario di APT28, ma piuttosto un layer aggiuntivo: un approccio che suggerisce una strategia di ridondanza, dove la perdita di un meccanismo di persistenza non compromette l'intera operazione. Il software JHUHUGIT (S0044), attribuito ad APT28, registra uno shell script Windows sotto la stessa chiave, confermando che il gruppo ha integrato questa tecnica in più strumenti del proprio arsenale. Anche Zebrocy (S0251), altra famiglia malware associata allo stesso ecosistema, implementa la persistenza con il medesimo meccanismo.

Cobalt Group (G0080), orientato verso attacchi al settore finanziario, utilizza la chiave per registrare il filename del malware di secondo stadio. Questo dettaglio operativo è significativo: il gruppo non punta direttamente a un payload finale, ma a un loader intermedio. Ciò implica un'architettura modulare dove il logon script è solo il trigger di una catena di esecuzione più complessa.

Il malware Attor (S0438) utilizza il proprio dispatcher per scrivere la chiave, mentre KGH_SPY (S0526) la imposta come capability modulare. Entrambi rappresentano strumenti con un livello di sofisticazione medio, dove la persistenza via logon script è una delle opzioni disponibili piuttosto che l'unica strategia.

Dal punto di vista dell'analisi dei pattern, l'assenza di campagne documentate specifiche per questa tecnica suggerisce che essa venga impiegata come componente tattica all'interno di operazioni più ampie, mai come vettore primario. Per il threat intelligence officer, questo significa che la detection di una modifica a UserInitMprLogonScript non è un indicatore di un attore specifico, ma piuttosto un segnale di compromissione che richiede un'analisi approfondita del payload referenziato, dei domini C2 contattati e degli altri meccanismi di persistenza eventualmente presenti sullo stesso sistema. La correlazione con IoC noti di APT28 o Cobalt Group va cercata a livello di infrastruttura di rete e di contenuto del payload, non della tecnica di persistenza in sé.

Framework MITRE ATT&CK v16 — tecnica T1037.001 (Logon Script – Windows), tattiche TA0003, TA0004. Gruppi: G0007, G0080. Software: S0438, S0044, S0526, S0251. Mitigazione: M1024. Detection: DET0072, AN0199. Integrato con conoscenza professionale per tool e procedure operative.