Print Processor Hijack: Boot Process Abuse via Print Processors (T1547.012)

Per replicare questa tecnica in laboratorio, inizia verificando la directory dei print processor sul sistema target. Il comando GetPrintProcessorDirectory dell'API Windows restituisce il percorso esatto che varia tra architetture.

Su Windows x64 il percorso standard è: *C:\Windows\System32\spool\prtprocs\x64*

Crea una DLL malevola che esporti le funzioni richieste dai print processor. La DLL deve implementare almeno EnumPrintProcessorDatatypes e OpenPrintProcessor per essere caricata correttamente dal servizio spooler.

Per registrare il print processor modifica il registro: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\MaliciousProc" /v Driver /t REG_SZ /d "malicious.dll" /f

Alternativamente usa l'API AddPrintProcessor che richiede però privilegi elevati con SeLoadDriverPrivilege abilitato. Dopo l'installazione riavvia il servizio spooler per attivare il payload:

net stop spooler && net start spooler

Il gruppo Earth Lusca ha utilizzato questa tecnica creando la chiave: HKLM\SYSTEM\ControlSet001\Control\Print\Environments\Windows x64\Print Processors\UDPrint

Il malware PipeMon si installa modificando direttamente il percorso dei print processor mentre Gelsemium si posiziona come winprint.dll nella directory standard dei processor. Questi esempi dimostrano l'efficacia della tecnica in scenari reali.

Per testare la persistenza riavvia il sistema e verifica che la DLL venga caricata automaticamente. Monitora i log di spoolsv.exe per confermare l'esecuzione con privilegi SYSTEM.

La detection efficace richiede correlazione tra più eventi in una finestra temporale ristretta. Configura Sysmon per catturare modifiche al registro sotto il path dei print processor.

Monitora specificamente: *HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments*

Crea regole che correlino tre eventi distinti: modifica del registro, creazione di DLL nella directory dei processor e caricamento del modulo da parte di spoolsv.exe. La finestra temporale critica è di 5 minuti durante riavvii o restart del servizio.

Un pattern di detection affidabile include la verifica delle firme Authenticode sulle DLL caricate. I print processor legittimi sono sempre firmati digitalmente da Microsoft o vendor autorizzati.

Implementa allowlist per i nomi standard dei processor in ambiente. I valori comuni includono winprint.dll, hpzppw71.dll per stampanti HP e altri driver vendor-specific. Qualsiasi deviazione da questi pattern merita investigazione immediata.

Il servizio spooler genera EventCode specifici durante il caricamento dei processor. Monitora eventi di restart del servizio che precedono immediatamente il caricamento di nuove DLL. Questo pattern è indicativo di installazione manuale di print processor malevoli.

Per ridurre i falsi positivi, verifica che le DLL caricate risiedano esclusivamente nella directory ufficiale dei print processor. Path relativi o assoluti diversi indicano potenziale compromissione.

L'analisi forense di questa tecnica inizia dall'esame delle chiavi di registro persistenti. Controlla tutti i ControlSet presenti nel sistema, non solo CurrentControlSet, poiché gli attaccanti possono modificare set alternativi.

Esamina i timestamp di creazione delle chiavi sotto: *SYSTEM\ControlSet00X\Control\Print\Environments*

Le DLL malevole lasciano tracce nel file system. Analizza la directory *C:\Windows\System32\spool\prtprocs\x64* cercando file con date di creazione anomale rispetto all'installazione del sistema.

Il malware Gelsemium si posiziona specificamente come winprint.dll, sostituendo o affiancando il processor legittimo. Verifica hash e firme digitali di tutti i file DLL presenti.

L'installazione via API AddPrintProcessor lascia tracce nei log di audit se abilitati. Cerca eventi relativi all'uso del privilegio SeLoadDriverPrivilege che precedono la comparsa di nuovi processor.

La timeline reconstruction deve correlare l'installazione del processor con i successivi riavvii di spoolsv.exe. Ogni restart del servizio rappresenta un potenziale punto di esecuzione del payload malevolo.

Analizza i prefetch files di Windows per identificare esecuzioni anomale correlate a spoolsv.exe. La presenza di nuove DLL nei trace files indica caricamento di moduli non standard durante l'esecuzione del servizio.

Earth Lusca rappresenta l'unico gruppo APT con utilizzo documentato di questa tecnica. Il gruppo opera principalmente nel Sud-Est asiatico con focus su obiettivi governativi e del settore telecomunicazioni.

La scelta di print processor come meccanismo di persistenza indica sofisticazione operativa. Questa tecnica richiede conoscenza approfondita dei meccanismi interni di Windows e capacità di sviluppo custom.

Il malware PipeMon dimostra l'evoluzione verso tool modulari che sfruttano componenti di sistema legittime. L'installer modifica direttamente il registro senza utilizzare API documentate, suggerendo capacità di bypass delle detection standard.

Gelsemium adotta un approccio più furtivo sostituendo DLL legittime nella directory dei processor. Questa variante indica focus sulla minimizzazione delle tracce forensi e massimizzazione della persistenza a lungo termine.

L'overlap limitato tra gruppi suggerisce che questa tecnica rimane relativamente esclusiva. La barriera tecnica all'implementazione e la necessità di privilegi elevati la rendono adatta solo per operazioni mirate di alto valore.

Pattern geografici mostrano concentrazione in regioni con infrastrutture Windows legacy dove i controlli di sicurezza sui print processor sono meno stringenti. Prevedi maggiore adozione in campagne contro infrastrutture critiche dove la persistenza a lungo termine giustifica l'investimento in tecniche complesse.

Tecnica documentata in MITRE ATT&CK T1547.012. Analisi basata su campagne reali di Earth Lusca e caratteristiche tecniche dei malware PipeMon e Gelsemium. Detection strategy derivata da telemetria Sysmon e correlazione multi-evento per identificazione affidabile.