Proxy Execution via Regsvr32: System Binary Proxy Execution: Regsvr32 (T1218.010)

Il modo più diretto per simulare questa tecnica in laboratorio è replicare l'attacco Squiblydoo. Si prepara un file SCT (COM scriptlet) contenente il payload, lo si ospita su un web server controllato e si invoca regsvr32.exe con l'argomento /i in modalità silenziosa. Il comando classico è:

regsvr32 /s /n /u /i:file.sct scrobj.dll

In questa sintassi, /s sopprime le finestre di dialogo, /n evita la chiamata a DllRegisterServer, /u simula una deregistrazione e /i passa il riferimento allo scriptlet. Il file scrobj.dll è la libreria Microsoft che interpreta gli scriptlet COM. In un test offensivo reale si sostituisce file.sct con il percorso locale o remoto dello scriptlet malevolo.

Per generare un payload adeguato, Koadic (open source) è un framework C2 pensato proprio per questo scenario: il suo stager regsvr produce scriptlet pronti all'uso. In alternativa, Metasploit Framework (open source) offre il modulo exploit/windows/misc/regsvr32_applocker_bypass_server che automatizza l'intero flusso — hosting dello scriptlet, generazione del comando e gestione della sessione.

Un secondo scenario da testare è l'esecuzione diretta di una DLL malevola. Il red teamer compila una DLL con una funzione DllRegisterServer che esegue shellcode e la lancia con:

regsvr32 /s payload.dll

Questo approccio simula il comportamento di malware come QakBot, Emotet e Dridex, che distribuiscono DLL destinate proprio a regsvr32.exe. Il framework Covenant (open source) permette di generare file SCT che installano i propri agenti Grunt tramite regsvr32, offrendo un'alternativa C#-native a Koadic.

Per validare la catena in ambiente controllato, Atomic Red Team (open source) fornisce test atomici specifici per T1218.010 che eseguono sia la variante scriptlet remoto sia la variante DLL locale. Si consiglia di correlare ogni test con le regole di detection attive nel SIEM per verificarne l'efficacia.

Sul piano della persistenza, si può dimostrare il COM Hijacking registrando un oggetto COM fittizio il cui percorso punta a una DLL controllata dall'attaccante. L'aggiunta nel registro avviene in HKCU\Software\Classes\CLSID\, e regsvr32.exe verrà invocato automaticamente quando un processo legittimo tenta di istanziare quel CLSID. Questo scenario replica il pattern documentato per Derusbi e Hi-Zor, che sfruttano le Registry Run Keys in combinazione con regsvr32.exe.

Il cuore della detection risiede nel monitoraggio della creazione di processo per regsvr32.exe. I log da presidiare sono il canale Security di Windows (EventID 4688 con audit della command line abilitato) e soprattutto Sysmon (a pagamento come parte di Sysinternals, ma distribuito gratuitamente da Microsoft), dove l'evento EventID 1 (Process Create) cattura la riga di comando completa e il processo padre.

Il primo indicatore ad alto valore è la command line anomala. In condizioni normali, regsvr32.exe registra DLL situate in C:\Windows\System32 o directory applicative note. Un alert dovrebbe scattare quando la riga di comando contiene il flag /i: seguito da un percorso .sct, un URL, oppure una DLL localizzata in directory temporanee (%TEMP%, %APPDATA%, Downloads). L'assenza di argomenti è altrettanto sospetta: Raspberry Robin invoca regsvr32.exe senza parametri, usando il processo come canale C2 verso nodi Tor.

Il secondo pilastro è il processo padre. Se regsvr32.exe viene generato da cmd.exe, powershell.exe, mshta.exe, wscript.exe o da processi Office come winword.exe, la probabilità di abuso cresce drasticamente. Sysmon EventID 1 include il campo ParentImage che consente di costruire questa correlazione.

Il terzo indicatore è la connessione di rete. Sysmon EventID 3 (Network Connection) registra ogni connessione TCP/UDP originata da regsvr32.exe. In ambienti ordinari questo processo non effettua traffico di rete; qualsiasi connessione in uscita — specialmente verso porte HTTP/HTTPS — merita indagine immediata.

Per il tuning dei falsi positivi, si consiglia di costruire una whitelist basata su:

• Directory consentite: C:\Windows\System32, C:\Program Files
• Processi padre leciti: explorer.exe durante installazioni software, msiexec.exe per deploy gestiti
• Finestra temporale di correlazione: correlare la creazione del processo con il caricamento DLL (Sysmon EventID 7) e l'eventuale connessione di rete entro 30 secondi

Sul versante preventivo, Windows Defender Application Control (WDAC, incluso in Windows Enterprise) e AppLocker (incluso in Windows Enterprise) possono bloccare l'esecuzione di scriptlet e DLL non firmate tramite regsvr32.exe. Le regole Attack Surface Reduction (ASR) di Microsoft Defender for Endpoint (a pagamento) includono una policy specifica per impedire a regsvr32 di bypassare l'application control.

L'analisi forense di un abuso di regsvr32.exe parte da un artefatto fondamentale: la Prefetch. Il file REGSVR32.EXE-xxxxxxxx.pf in C:\Windows\Prefetch registra fino a otto esecuzioni recenti del binario, ciascuna con timestamp, percorso dell'eseguibile e — cruciale — la lista delle DLL e dei file referenziati durante l'esecuzione. Se lo scriptlet o la DLL malevola erano su disco al momento del caricamento, compariranno in questa lista anche se successivamente cancellati.

Il secondo blocco di evidenze proviene dal registro eventi. Il canale Microsoft-Windows-Sysmon/Operational è la fonte primaria: l'EventID 1 fornisce la riga di comando completa, il processo padre, l'hash dell'immagine e il GUID della sessione di logon. L'EventID 7 (Image Loaded) documenta ogni modulo caricato da regsvr32.exe, consentendo di identificare DLL sospette o non firmate. L'EventID 3 registra le connessioni di rete, fondamentale per ricostruire l'eventuale download di uno scriptlet remoto (variante Squiblydoo).

In assenza di Sysmon, il canale Security con EventID 4688 e command line auditing abilitato fornisce comunque il processo padre e la riga di comando, sebbene con minore granularità. Per il traffico di rete, i log del proxy aziendale o i record DNS passivi possono colmare il gap.

Sul filesystem, occorre cercare file .sct e DLL in posizioni anomale. Le directory da ispezionare prioritariamente sono %TEMP%, %APPDATA%\Local\Temp, la cartella Downloads dell'utente e le directory di staging comuni come C:\ProgramData o C:\Users\Public. Lo strumento MFTECmd di Eric Zimmerman (open source) consente di parsare la Master File Table NTFS ed estrarre timestamp di creazione, modifica e accesso anche per file eliminati, ricostruendo così la sequenza di staging del payload.

Per la correlazione con la persistenza, si analizzano le chiavi di registro HKCU\Software\Classes\CLSID\ e HKLM\SOFTWARE\Classes\CLSID\ alla ricerca di COM Object registrati di recente che puntano a DLL non standard. Registry Explorer di Eric Zimmerman (open source) o RegRipper (open source) permettono di analizzare gli hive offline. Il pattern tipico, osservato con Hi-Zor e Derusbi, prevede una Run Key che invoca regsvr32 /s <percorso_dll> al boot del sistema.

La ricostruzione della timeline si completa correlando il timestamp di prima esecuzione Prefetch con l'EventID 1 Sysmon, i moduli caricati (EventID 7), l'eventuale connessione di rete (EventID 3) e la creazione dei file su disco (timestamp MFT $SI e $FN). Questa sequenza consente di distinguere tra un uso legittimo isolato e un pattern di attacco strutturato.

L'abuso di regsvr32.exe attraversa uno spettro sorprendentemente ampio del panorama threat, dal cyber-espionage statale alla criminalità finanziaria. Mappare i gruppi che adottano questa tecnica rivela pattern operativi distinti.

APT32 (Vietnam) rappresenta l'impiego più sofisticato: il gruppo ha orchestrato catene in cui un Scheduled Task invocava regsvr32.exe per eseguire un COM scriptlet che scaricava dinamicamente una backdoor e la iniettava in memoria. Questa catena multi-stadio — persistenza, proxy execution, download in-memory — dimostra una maturità operativa in cui regsvr32.exe non è un semplice esecutore ma un nodo centrale dell'infrastruttura C2.

APT19 ha sfruttato regsvr32.exe specificamente per bypassare i controlli di application whitelisting, confermando che il vettore Squiblydoo era parte del loro playbook anti-detection. Deep Panda lo ha impiegato per eseguire una variante server di Derusbi, collegando la tecnica al malware modulare che caratterizza le operazioni di spionaggio cinesi.

Sul fronte del cybercrime finanziario, Cobalt Group ha usato regsvr32.exe per eseguire script nelle proprie campagne contro istituzioni bancarie. TA551, noto broker di accesso iniziale, ha distribuito DLL malevole tramite regsvr32.exe come parte delle sue catene di delivery via email, alimentando gruppi ransomware downstream.

Le due campagne documentate chiariscono ulteriormente il quadro. Durante l'Operation Dream Job (C0022, 2019-2020), attribuita a Lazarus Group, regsvr32.exe è stato utilizzato in un'operazione di cyber-espionage che ha colpito i settori difesa, aerospaziale e governativo in Stati Uniti, Israele, Australia, Russia e India. Nella campagna C0015 (agosto 2021), un'intrusione ransomware di 5 giorni basata su Bazar, Cobalt Strike e Conti — probabilmente condotta seguendo il playbook Conti pubblicamente circolato — ha impiegato regsvr32.exe come esecutore nelle fasi intermedie della catena.

Kimsuky (Corea del Nord) e Leviathan (Cina) completano il quadro degli attori statali, mentre WIRTE e Inception aggiungono dimensione geografica con operazioni rispettivamente nel Medio Oriente e in ambienti multi-regionali — Inception ha usato regsvr32.exe per la persistenza al boot tramite la registrazione di una DLL specifica.

Il trend emergente riguarda Storm-0501, attore ransomware che ha usato regsvr32.exe per lanciare beacon Cobalt Strike, e Blue Mockingbird, che ha eseguito miner XMRIG personalizzati attraverso lo stesso binario. L'overlap di tool è significativo: Cobalt Strike, QakBot, Emotet, Dridex e Raspberry Robin convergono tutti su regsvr32.exe, rendendolo un indicatore trasversale che attraversa le boundaries tra spionaggio, crimine finanziario e ransomware.

Framework MITRE ATT&CK v16 — T1218.010, TA0005. Campagne: C0022 (Operation Dream Job), C0015. Detection: Sysmon (EventID 1, 3, 7), Windows Security (EventID 4688). Tool citati: Koadic, Metasploit Framework, Covenant, Atomic Red Team, MFTECmd, Registry Explorer, RegRipper. Integrato con conoscenza professionale per tool e procedure operative.