Modifiche ai Permessi: Windows File and Directory Permissions Modification (T1222.001)

Il toolkit nativo di Windows offre tutto il necessario per manipolare i permessi. Il comando più versatile è icacls, che permette modifiche granulari delle ACL:

icacls C:\SensitiveData /grant Everyone:F /T /C /Q

Questo comando concede controllo completo (F) a tutti gli utenti, processando ricorsivamente (/T), continuando anche in caso di errori (/C) e operando in modalità silenziosa (/Q). WannaCry utilizzava esattamente questa sintassi per garantirsi accesso illimitato durante la fase di cifratura.

Per scenari che richiedono il cambio di proprietà, takeown diventa essenziale. BitPaymer combina entrambi gli strumenti in una sequenza letale:

takeown /F C:\ImportantFile.exe
icacls C:\ImportantFile.exe /reset

La sequenza prima acquisisce la proprietà del file, poi resetta completamente le ACL, rimuovendo ogni protezione esistente. Per nascondere le tracce, attrib modifica gli attributi visibili:

attrib +h +s C:\MaliciousPayload.exe

PowerShell offre capacità ancora più sofisticate attraverso i cmdlet dedicati. La manipolazione programmatica delle ACL permette modifiche chirurgiche:

$acl = Get-Acl "C:\TargetDirectory"
$permission = "Everyone","FullControl","Allow"
$accessRule = New-Object System.Security.AccessControl.FileSystemAccessRule $permission
$acl.SetAccessRule($accessRule)
Set-Acl "C:\TargetDirectory" $acl

Storm-1811 ha dimostrato l'efficacia degli script batch che automatizzano queste operazioni su scala, utilizzando cacls.exe per modifiche massive. L'approccio batch permette di colpire centinaia di file in pochi secondi, rendendo il ripristino manuale praticamente impossibile.

La detection efficace richiede un approccio multilivello che correli diversi indicatori comportamentali. Il cuore della strategia ruota attorno all'EventCode 4670, che registra ogni modifica alle DACL.

Una regola SIEM deve catturare la sequenza tipica: processo che spawna utility di modifica permessi (Sysmon EventID 1 o Security 4688), seguito da eventi 4670 su percorsi sensibili. La correlazione temporale è critica - una finestra di 300 secondi bilancia efficacia e performance.

event_id:4688 AND (process_name:icacls.exe OR process_name:takeown.exe OR process_name:cacls.exe)
| join event_id:4670 by computer_name within 5m
| where object_name contains ["System32", "Program Files", "AppData"]

I comandi PowerShell richiedono analisi del Module Logging (EventID 4103) e Script Block Logging (4104). Pattern sospetti includono riferimenti a System.Security.AccessControl combinati con metodi SetAccessRule o SetOwner.

La baseline comportamentale diventa fondamentale per ridurre i falsi positivi. Account di servizio legittimi modificano regolarmente permessi - la chiave sta nel contesto: orario, frequenza, target. Modifiche massive fuori orario lavorativo su directory critiche devono generare alert ad alta priorità.

L'analisi WMI (EventID 5861) cattura tentativi più sofisticati attraverso Win32_SecurityDescriptor. Questi metodi, meno comuni ma ugualmente pericolosi, spesso indicano attaccanti avanzati che evitano utility standard.

La ricostruzione forense delle modifiche ai permessi richiede l'analisi incrociata di molteplici artefatti. Il file $MFT registra timestamp di modifica degli attributi di sicurezza, distinguibili dai normali aggiornamenti di contenuto attraverso il flag SI (Standard Information).

L'USN Journal cattura ogni cambio nelle security descriptor con il reason code 0x00000100. Questa granularità permette di identificare l'esatto momento della compromissione:

fsutil usn readjournal C: | findstr /i "SECURITY_CHANGE"

Le Prefetch files (\Windows\Prefetch) documentano l'esecuzione di tool come icacls.exe o takeown.exe, includendo parametri della command line nei metadata. Wizard Spider lasciava tracce distintive attraverso l'uso ripetuto di icacls su directory di backup.

Il registro di Windows mantiene snapshot delle ACL in HKLM\SYSTEM\CurrentControlSet\Services. Confrontando le chiavi Security tra punti di ripristino diversi emerge il pattern di escalation.

PowerShell Transcript Logging, quando abilitato, cattura l'intera sessione includendo i cmdlet ACL. I transcript in %USERPROFILE%\Documents\PowerShell_transcript spesso contengono evidenze che gli attaccanti dimenticano di eliminare.

La correlazione temporale con altri indicatori - creazione di nuovi processi, accessi di rete, modifiche al registro - permette di contestualizzare le modifiche ai permessi all'interno della kill chain completa. BlackByte mostrava un pattern ricorrente: mountvol.exe seguito da icacls.exe entro 60 secondi, poi l'encryption dei dati.

Wizard Spider rappresenta il caso emblematico di gruppi ransomware che weaponizzano le modifiche ai permessi. Il gruppo utilizza icacls per garantire accesso completo ai backup server prima del deployment di Ryuk, neutralizzando preventivamente le capacità di recovery. La loro metodologia prevede l'acquisizione di credenziali domain admin prima di procedere con modifiche massive alle ACL.

Storm-1811 dimostra un approccio più chirurgico, utilizzando script batch con cacls.exe per modifiche mirate. Il gruppo opera prevalentemente contro infrastrutture critiche nell'Europa dell'Est, suggerendo motivazioni che vanno oltre il semplice profitto economico.

L'overlap nei tool è significativo: Ryuk, BitPaymer e WastedLocker condividono tecniche quasi identiche per la manipolazione delle ACL, suggerendo possibili connessioni tra i developer o la condivisione di playbook nel cybercrime underground. Tutti e tre utilizzano la sequenza takeown/icacls prima della cifratura.

BlackCat introduce innovazioni tecniche utilizzando fsutil per manipolare i symbolic link evaluation, una tecnica più sofisticata che richiede comprensione profonda del filesystem NTFS. Questo indica una evoluzione nelle capacità degli operatori ransomware.

I pattern geografici mostrano concentrazioni diverse: gruppi dell'Est Europa preferiscono approcci "rumorosi" con modifiche massive, mentre attori asiatici tendono verso modifiche selettive su file specifici. CaddyWiper e Grandoreiro rappresentano eccezioni regionali, con il primo focalizzato su target ucraini e il secondo prevalente in America Latina.

Analisi basata su framework MITRE ATT&CK T1222.001, documentazione Microsoft DACL, report di incident response Wizard Spider (2020-2023), analisi malware WannaCry/Ryuk/BlackCat, ricerche CrowdStrike e Mandiant su tecniche di evasione Windows.