Esecuzione tramite Servizi Windows: Service Execution (T1569.002)

Il modo più diretto per simulare questa tecnica in laboratorio è creare un servizio Windows che esegua un payload controllato, osservando come lo SCM avvia il processo figlio sotto services.exe. L'obiettivo non è solo l'esecuzione, ma generare la telemetria che il blue team dovrà poi rilevare.

Scenario 1 — Servizio locale con sc.exe. Partiamo dal classico. Da un prompt con privilegi amministrativi:

sc create EvilSvc binPath= "cmd.exe /c whoami > C:\Windows\Temp\proof.txt" start= demand

sc start EvilSvc

Il servizio fallirà dopo l'esecuzione (non è un vero servizio Windows), ma il comando verrà eseguito. Questo genera un evento EventCode 7045 nel log System e un processo figlio sotto services.exe visibile in Sysmon EventCode 1. Per la pulizia: sc delete EvilSvc.

Scenario 2 — Esecuzione remota con PsExec. PsExec (open source, Sysinternals) crea un servizio temporaneo chiamato PSEXESVC sul target remoto:

PsExec.exe \TARGET -accepteula -s -d cmd.exe /c "net user"

Il flag -s forza l'esecuzione come SYSTEM, -d sgancia il processo dalla sessione interattiva. L'artefatto chiave è la copia di PSEXESVC.exe in C:\Windows sul target e la creazione/distruzione rapida del servizio associato.

Scenario 3 — Impacket psexec.py. Per chi opera da Linux, Impacket (open source) offre un modulo equivalente:

impacket-psexec DOMINIO/utente:password@TARGET

Il modulo carica un eseguibile randomizzato nella share ADMIN$, crea un servizio remoto, lo avvia e poi rimuove le tracce. L'output è una shell interattiva SYSTEM.

Scenario 4 — Cobalt Strike service execution. In un engagement con Cobalt Strike (a pagamento), il comando psexec dal beacon esegue la stessa catena: upload dell'artifact, creazione del servizio via SCM API, esecuzione e cleanup. Il comando psexec_psh usa invece PowerShell come binario di servizio, lasciando artefatti diversi nei log.

Scenario 5 — PoshC2 e Empire. Sia PoshC2 (open source) che Empire (open source) implementano moduli PsExec-like. In PoshC2, il modulo di lateral movement crea un servizio remoto con payload embedded. Empire espone il modulo lateral_movement/invoke_psexec con parametri per listener, target e credenziali.

Un consiglio operativo: durante il test, attivate Sysmon con una configurazione che catturi EventCode 1 (Process Create), EventCode 13 (Registry Value Set) e EventCode 17/18 (Pipe Created/Connected). Questo vi permette di validare in tempo reale la copertura difensiva del cliente.

La detection di T1569.002 ruota attorno a un principio semplice: services.exe non dovrebbe generare processi figlio inaspettati. Tutto ciò che esce dalla baseline di servizi legittimi è un segnale.

Le log source primarie sono Windows Security Event Log e Sysmon. L'evento più importante è EventCode 7045 (A new service was installed in the system) nel log System: contiene il nome del servizio, il percorso del binario e il tipo di avvio. Quando un attaccante usa PsExec, vedrete un servizio con nome randomizzato e binPath che punta a un eseguibile in C:\Windows o ADMIN$. Correlare questo evento con EventCode 4697 (Security log) fornisce il contesto dell'account che ha creato il servizio.

Sysmon EventCode 1 è il secondo pilastro. Monitorate i processi con ParentImage uguale a services.exe e Image che non rientra nella allowlist dei servizi noti. Un cmd.exe, powershell.exe o binario sconosciuto come figlio di services.exe è quasi sempre un indicatore ad alta fedeltà.

Per la detection comportamentale, costruite regole su tre pattern correlati:

• Creazione + esecuzione rapida: un EventCode 7045 seguito entro pochi secondi da EventCode 1 con lo stesso binario indica un servizio "usa e getta" — il pattern tipico di PsExec e Impacket.
• Servizio con binPath anomalo: percorsi come %TEMP%, C:\Users\Public, %SystemRoot%\Temp o share di rete non dovrebbero mai apparire come binario di servizio.
• Servizio creato e cancellato rapidamente: la sequenza creazione → avvio → cancellazione in meno di 60 secondi è fortemente indicativa di esecuzione offensiva.

Il tuning dei falsi positivi richiede una ServiceBinaryAllowlist ben mantenuta. Strumenti di gestione come SCCM, agenti di monitoraggio e software di patching creano servizi transienti legittimi. Definite una finestra temporale di correlazione (ParentProcessCorrelationWindow) di 5-10 secondi per legare creazione ed esecuzione. Mantenete inoltre una lista di RemoteExecutionHosts autorizzati — jump server, bastion host — per escludere attività PsExec legittime dell'IT.

Un controllo preventivo fondamentale: le regole Attack Surface Reduction (ASR) di Windows Defender possono bloccare direttamente i processi creati da PsExec. Abilitatele in modalità audit prima di passare al blocco per misurare l'impatto operativo. Integrate il tutto con una soluzione EDR che rilevi relazioni parent-child anomale e modifiche al registro nella chiave HKLM\SYSTEM\CurrentControlSet\Services.

L'analisi forense di un'esecuzione via servizio lascia tracce distribuite su registro, filesystem, log eventi e artefatti di rete. La chiave è ricostruire la sequenza temporale incrociando queste fonti.

Registro di sistema. Ogni servizio creato scrive una chiave sotto HKLM\SYSTEM\CurrentControlSet\Services<NomeServizio>. I valori forensicamente rilevanti sono ImagePath (il binario eseguito), Start (tipo di avvio: 2=automatico, 3=manuale), ObjectName (l'account di esecuzione, spesso LocalSystem) e Type. Nei casi documentati, Wizard Spider ha usato services.exe per eseguire script durante il movimento laterale, e il ransomware BlackByte 2.0 si è distribuito proprio come servizio — in entrambi i casi, la chiave di registro rivela il binario effettivo.

Analizzate i Registry Hive offline con RegRipper (open source) o Registry Explorer (gratuito, Eric Zimmerman). Confrontate il timestamp LastWriteTime della chiave di servizio con la timeline del filesystem per stabilire la sequenza precisa.

Log eventi. Il EventCode 7045 nel log System è la prova primaria della creazione del servizio. Estraetelo con:

wevtutil qe System /q:"[System[(EventID=7045)]]" /f:text*

Incrociatelo con EventCode 4624 (Logon) nel Security log per identificare l'account e la sorgente della connessione. Per esecuzioni remote via PsExec, vedrete un logon di tipo 3 (Network) o tipo 2 (Interactive) dallo stesso IP sorgente pochi secondi prima della creazione del servizio.

Filesystem. PsExec deposita PSEXESVC.exe nella directory C:\Windows. Impacket usa nomi randomizzati nella stessa posizione o nella share ADMIN$. Cercate binari con timestamp di creazione anomalo in queste directory. La Master File Table ($MFT) rivela anche file cancellati — molti framework offensivi eliminano il binario dopo l'esecuzione, ma il record MFT persiste. Utilizzate MFTECmd (open source, Eric Zimmerman) per l'analisi:

MFTECmd.exe -f "C:$MFT" --csv output_dir

Named Pipe. PsExec crea pipe con nomi caratteristici (\PSEXESVC). Sysmon EventCode 17 (Pipe Created) e EventCode 18 (Pipe Connected) catturano questa attività. Nella campagna Operation Wocao, gli attaccanti crearono servizi su sistemi remoti per l'esecuzione — la correlazione tra pipe, servizio e logon remoto è il triangolo forense che chiude l'evidenza.

Per la timeline consolidata, importate tutti gli artefatti in Plaso/log2timeline (open source) e filtrate per la finestra temporale dell'incidente. La sequenza tipica è: logon remoto → creazione chiave registro → creazione file binario → EventCode 7045 → EventCode 1 (processo figlio di services.exe) → eventuale cancellazione del servizio e del binario.

L'esecuzione tramite servizi Windows è una tecnica trasversale che accomuna gruppi con motivazioni profondamente diverse — dall'espionage statale al cybercrime finanziario. Analizzare come ciascun gruppo la implementa rivela pattern operativi utili per l'attribuzione e la previsione.

Wizard Spider rappresenta l'archetipo dell'uso ransomware: combina PsExec con batch script per distribuire il payload di cifratura in modo massivo attraverso la rete vittima. La catena operativa prevede il trasferimento del ransomware su share di rete, seguito dall'esecuzione remota via servizio. Questo pattern "stage-then-execute" si ritrova anche in INC Ransom, che esegue il proprio binario di cifratura registrandolo come servizio con nome winupd e avvio on-demand, e in BlackByte, che crea servizi malevoli dedicati alla distribuzione ransomware. Quando vedete servizi transienti su larga scala con binari in posizioni inusuali, il profilo è quasi certamente ransomware-oriented.

Sul versante espionage, APT41 merita attenzione particolare: nella campagna APT41 DUST (2023-2024), ha usato servizi Windows per eseguire il loader DUSTPAN contro target nei settori shipping, logistica e media tra Europa, Asia e Medio Oriente. La continuità operativa è significativa — già in precedenza APT41 sfruttava svchost.exe e il comando net per lanciare un loader Cobalt Strike tramite servizio. Velvet Ant segue un pattern simile, installando ed eseguendo PlugX come servizio Windows per garantire persistenza ed esecuzione con privilegi elevati.

Chimera e Ke3chang condividono l'approccio "tool legittimo come vettore": Chimera usa PsExec per distribuire beacon, Ke3chang impiega RemoteExec (un tool simile a PsExec) per eseguire script batch remotamente. L'uso di strumenti dual-use rende più complessa l'attribuzione iniziale.

La campagna SharePoint ToolShell Exploitation (luglio 2025) illustra un trend significativo: lo sfruttamento di vulnerabilità su server SharePoint on-premises come punto d'ingresso, seguito dall'uso di PsExec e services.exe per disabilitare le difese e muoversi lateralmente. Il coinvolgimento di attori sia ransomware che espionage nella stessa campagna dimostra la convergenza delle TTP.

Anche Operation Wocao (2017-2019), attribuita a possibili attori cinesi, creava servizi remoti per l'esecuzione — colpendo organizzazioni governative, MSP e settori critici in dieci paesi. Nella campagna Operation Honeybee (2017-2018), rivolta a organizzazioni umanitarie e inter-coreane, gli attori usarono sc start e sc stop per il service hijacking di COMSysApp.

Dal punto di vista predittivo, un ambiente che osserva creazione di servizi anomali e uso di PsExec dovrebbe valutare tre scenari: movimento laterale propedeutico a ransomware, installazione di implant persistenti per espionage, o disabilitazione delle difese. La correlazione con gli indicatori di rete (C2 noti, domini associati ai gruppi citati) è ciò che trasforma un alert generico in un'attribuzione operativa.

Framework MITRE ATT&CK v16: T1569.002, TA0002. Campagne: C0014 (Operation Wocao), C0006 (Operation Honeybee), C0040 (APT41 DUST), C0058 (SharePoint ToolShell Exploitation). Mitigazioni: M1026, M1040, M1022. Detection: DET0421/AN1185. Tool di detection: Sysmon, wevtutil, MFTECmd, RegRipper, Registry Explorer, Plaso/log2timeline. Integrato con conoscenza professionale per tool e procedure operative.