Script di Logon: Boot Persistence - Logon Script (T1037.001)

Per testare questa tecnica in laboratorio, inizia con l'approccio più diretto. Apri una PowerShell con privilegi utente standard ed esegui:

Set-ItemProperty -Path "HKCU:\Environment" -Name "UserInitMprLogonScript" -Value "C:\temp\payload.bat"

Il batch file può contenere qualsiasi comando, dal semplice beacon verso un C2 all'esecuzione di un dropper più complesso. Un esempio minimo per validare la persistenza:

echo powershell.exe -NoProfile -WindowStyle Hidden -Command "Add-Content C:\temp\persistence.log (Get-Date)" > C:\temp\payload.bat

Per simulare il comportamento di APT28, crea una catena di esecuzione multi-stadio. Il loader iniziale resta minimale nel registro mentre scarica il payload reale da una risorsa remota. Questo approccio riduce l'impronta forense sulla macchina target.

Su sistemi con policy restrittive, valuta percorsi alternativi per gli script. Le cartelle NETLOGON e SYSVOL sui domain controller offrono location legittime spesso escluse dai controlli antivirus. La sintassi per puntare a share di rete:

Set-ItemProperty -Path "HKCU:\Environment" -Name "UserInitMprLogonScript" -Value "\domain.local\NETLOGON\login.bat"

Il Cobalt Group ha dimostrato come concatenare questa tecnica con altre forme di persistenza. Dopo aver stabilito lo script di logon, utilizzano task schedulati o servizi Windows per garantire ridondanza. Questo approccio "defense in depth" complica notevolmente l'eradicazione completa del malware.

Per massimizzare le chance di successo, verifica sempre i permessi sulla chiave di registro target prima di procedere. Il comando Get-Acl "HKCU:\Environment" | fl mostra rapidamente se l'utente corrente può modificare i valori. In ambienti hardened, potresti dover ricorrere a tecniche di privilege escalation prima di implementare questa persistenza.

La detection efficace di questa tecnica richiede un approccio multilivello che combini monitoraggio del registro e analisi comportamentale. Inizia configurando Sysmon per catturare ogni modifica alla chiave critica con questa regola:

<RegistryEvent onmatch="include">
  <TargetObject condition="contains">Environment\UserInitMprLogonScript</TargetObject>
</RegistryEvent>

I log di sicurezza Windows catturano nativamente queste modifiche tramite l'evento 4657 quando l'auditing del registro è abilitato. La configurazione si attiva con:

auditpol /set /subcategory:"Registry" /success:enable /failure:enable

Non fermarti al solo monitoraggio delle modifiche. Gli script di logon legittimi seguono pattern prevedibili: risiedono in location standard, vengono deployati via GPO e raramente cambiano. Qualsiasi deviazione merita investigazione immediata.

Zebrocy e JHUHUGIT tendono a utilizzare path non convenzionali per i loro script, spesso in cartelle temporanee o profili utente. Un alert efficace combina la creazione della chiave di registro con l'esecuzione successiva di processi da queste location sospette.

Per ridurre i falsi positivi, crea una baseline delle modifiche legittime nel tuo ambiente. I deployment software e le configurazioni IT generano eventi simili ma seguono pattern temporali diversi. Gli attacchi reali mostrano spesso modifiche isolate su singole macchine piuttosto che rollout massivi.

La correlazione temporale aumenta drasticamente l'efficacia della detection. Cerca sequenze dove la modifica del registro è seguita entro pochi minuti da esecuzioni di script o PowerShell con parametri di offuscamento. Attor implementa proprio questa sequenza, rendendo il pattern un indicatore affidabile.

Implementa threshold dinamici basati sul contesto utente. Un amministratore di dominio che modifica script di logon durante l'orario lavorativo è normale. Lo stesso evento su un account di servizio alle 3 del mattino richiede risposta immediata.

L'analisi forense di questa tecnica inizia sempre dal registro di sistema. La chiave HKCU\Environment\UserInitMprLogonScript conserva timestamp di ultima modifica accessibili tramite RegRipper o timeline analysis tools. Questi timestamp forniscono il punto zero dell'attività malevola.

Il valore della chiave rivela immediatamente il path dello script eseguito. Nel caso di KGH_SPY, i ricercatori hanno documentato l'uso di path con doppi backslash per evadere alcuni controlli di sicurezza. Presta attenzione a queste anomalie sintattiche che tradiscono l'origine malevola.

Gli artefatti di esecuzione si trovano nei Prefetch files e nell'Amcache. Cerca tracce di cmd.exe o powershell.exe lanciate dal contesto di logon con parametri che puntano al path identificato nel registro. La correlazione temporale tra login eventi (4624) e process creation (4688) conferma l'esecuzione automatica.

I log di Windows Security catturano dettagli preziosi se l'auditing era attivo. L'evento 4657 registra la modifica del registro con SID dell'utente e timestamp preciso. Cross-referenzia con eventi di autenticazione per identificare se l'attaccante aveva accesso locale o remoto durante la modifica.

Per ricostruire l'intera catena di compromissione, esamina i file referenziati dallo script. Anche se cancellati, il Journal del file system NTFS potrebbe conservare metadati su creazione e modifiche. Tools come LogFileParser possono recuperare queste informazioni da $LogFile e $UsnJrnl.

L'analisi della memoria volatile, se disponibile, rivela processi child generati dallo script di logon. Volatility framework identifica relazioni parent-child anomale dove explorer.exe spawna direttamente interpreti di scripting, pattern tipico di questa tecnica.

Le campagne di APT28 mostrano evoluzione temporale degli script. Versioni iniziali contengono funzionalità complete, mentre iterazioni successive si limitano a downloader minimali. Questa progressione aiuta a datare l'inizio effettivo della compromissione rispetto alla discovery.

APT28 (Sofacy/Fancy Bear) implementa questa tecnica come parte di campagne sofisticate contro target governativi e militari. Il gruppo russo mostra preferenza per loader modulari che utilizzano lo script di logon come primo stadio di una catena di infezione complessa. La loro implementazione tipicamente scarica componenti aggiuntivi da server C2 hardcoded o generati algoritmicamente.

Il Cobalt Group adotta un approccio più diretto, orientato al financial gain. La loro variante installa direttamente backdoor bancarie attraverso lo script, senza fasi intermedie. Questa differenza riflette obiettivi operativi distinti: APT28 privilegia stealth e persistenza a lungo termine, mentre Cobalt Group punta a monetizzazione rapida.

L'overlap nei tool suggerisce possibili connessioni o condivisione di risorse nel underground. Zebrocy, associato ad APT28, condivide pattern di implementazione con JHUHUGIT, indicando possibile riuso di codice o sviluppatori comuni. Questa convergenza tecnica complica l'attribution ma fornisce indicatori per clustering di attività.

Geograficamente, l'adozione di questa tecnica mostra concentrazione in operazioni dell'Europa orientale. Russia e stati satellite dimostrano familiarità superiore con meccanismi Windows legacy, riflettendo ecosistemi IT locali dove tali configurazioni restano prevalenti.

Le evoluzioni future probabilmente includeranno offuscamento avanzato dei path di registro e integrazione con tecniche di "living off the land". Attor già dimostra questa tendenza utilizzando tool Windows nativi lanciati dallo script invece di dropper custom. Il trend verso fileless persistence ridurrà ulteriormente gli indicatori forensi disponibili.

L'intelligence suggerisce attenzione particolare a campagne che combinano questa tecnica con lateral movement via GPO abuse. La capacità di propagare script di logon attraverso policy di dominio moltiplica esponenzialmente l'impatto. Monitora comunicazioni underground per early warning su tool automatizzati che implementano questa combo.

Analisi basata su framework MITRE ATT&CK per technique T1037.001. Intelligence su APT28 e Cobalt Group derivata da report di threat intelligence pubblici. Dettagli implementativi dei malware Zebrocy, JHUHUGIT, Attor e KGH_SPY estratti da reverse engineering documentato. Linee guida di detection integrate con configurazioni Sysmon e Windows Event auditing best practices.