Servizi Windows Compromessi: Windows Service (T1543.003)

La creazione di servizi Windows malevoli può essere eseguita attraverso diverse tecniche, dalla riga di comando alle API native. L'approccio più semplice utilizza sc.exe per creare un nuovo servizio che punta a un eseguibile malevolo.

Per creare un servizio persistente su Windows, esegui questo comando con privilegi amministrativi: sc create "WindowsHealthService" binPath= "C:\Windows\Temp\malware.exe" start= auto

Il servizio partirà automaticamente al boot del sistema. Per renderlo meno sospetto, puoi mascherarlo con nomi simili a servizi legittimi come "Windows Defender Health Service" o "System Update Service". L'aggiunta di una descrizione credibile aumenta l'efficacia del camuffamento: sc description "WindowsHealthService" "Monitors system health and performance metrics"

Un approccio più sofisticato sfrutta PowerShell per creare servizi che eseguono script codificati in Base64. Questo evita di dover droppare file sul disco: New-Service -Name "SysHealthMon" -BinaryPathName "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -WindowStyle Hidden -EncodedCommand <base64_payload>"

Per testare l'installazione di driver malevoli, puoi utilizzare le API native direttamente. Dopo aver droppato un file .sys, registralo come servizio kernel con: sc create EvilDriver type= kernel binPath= C:\Windows\Temp\rootkit.sys

Gli attaccanti avanzati utilizzano anche tecniche BYOVD (Bring Your Own Vulnerable Driver), caricando driver legittimi ma vulnerabili per poi sfruttarli. Tools come Mimikatz includono funzionalità per caricare driver vulnerabili firmati digitalmente, bypassando le protezioni di Windows.

Per nascondere ulteriormente i servizi, puoi manipolare le ACL usando sc sdset. Questo comando imposta permessi che rendono il servizio invisibile agli strumenti standard di enumerazione, richiedendo una sintassi SDDL complessa ma efficace nel nascondere la presenza del servizio agli amministratori.

Il rilevamento di servizi Windows malevoli richiede un approccio multi-layer che combina analisi comportamentale con indicatori tecnici specifici. La chiave sta nel distinguere la creazione legittima di servizi da quella sospetta attraverso pattern anomali.

Monitora l'Event ID 4697 nel Security log di Windows, che registra ogni creazione di nuovo servizio. Questo evento contiene il nome del servizio, il percorso dell'eseguibile e l'account che ha creato il servizio. Correla questo evento con l'Event ID 7045 nel System log per una visione completa della timeline di installazione.

Implementa detection rules basate sui percorsi anomali dei file eseguibili. I servizi legittimi risiedono tipicamente in C:\Windows\System32 o C:\Program Files. Alert immediati dovrebbero scattare per servizi che puntano a directory come:

• *C:\Users*
• *C:\Temp*
• *C:\ProgramData*
• Qualsiasi percorso con spazi doppi o caratteri Unicode

Sysmon fornisce visibilità granulare attraverso l'Event ID 13 per modifiche al registro dei servizi. Configura Sysmon per catturare modifiche alle chiavi: *HKLM\System\CurrentControlSet\Services*

I servizi che utilizzano cmd.exe, powershell.exe, o rundll32.exe come immagine principale sono altamente sospetti. Questi binari legittimi vengono spesso abusati per eseguire payload attraverso parametri della linea di comando.

Per ridurre i falsi positivi, mantieni una whitelist dei servizi legittimi nel tuo ambiente. Utilizza hash file e certificati digitali per validare l'autenticità dei binari. Servizi non firmati o firmati con certificati self-signed dovrebbero generare alert ad alta priorità.

La correlazione temporale è cruciale: servizi creati durante orari non lavorativi o immediatamente dopo eventi di compromissione iniziale (come l'esecuzione di documenti Office) indicano spesso attività malevola. Implementa regole che correlano la creazione di servizi con altri indicatori di compromissione nella stessa finestra temporale.

L'analisi forense dei servizi Windows compromessi richiede l'esame di molteplici artefatti per ricostruire la sequenza completa degli eventi. Il registro di Windows mantiene tracce dettagliate di ogni servizio installato, anche dopo la sua rimozione.

Inizia l'analisi dal registro di sistema, specificamente la chiave HKLM\SYSTEM\CurrentControlSet\Services. Ogni sottochiave rappresenta un servizio installato. I timestamp delle chiavi rivelano quando il servizio è stato creato. Esamina i valori critici:

• ImagePath: percorso dell'eseguibile
• Start: tipo di avvio (0x02 indica avvio automatico)
• Type: distingue tra servizi kernel e user-mode

Il registro SYSTEM contiene anche i ControlSet precedenti (ControlSet001, ControlSet002), permettendo di tracciare modifiche storiche ai servizi. Confronta questi set per identificare quando un servizio è stato modificato o rimosso.

I log di Windows preservano evidenze cruciali. Nel Security log, cerca:

• Event ID 4697: creazione servizio con dettagli completi
• Event ID 4656/4663: accesso agli oggetti servizio
• Event ID 4674: operazioni privilegiate sui servizi

Il System log fornisce informazioni operative attraverso gli Event ID 7034, 7035, 7036, che registrano crash, controllo manuale e cambi di stato dei servizi.

Per i servizi che caricano driver, esamina C:\Windows\System32\drivers per file .sys sospetti. I driver legittimi sono tipicamente firmati; utilizza sigcheck.exe per verificare le firme digitali. I timestamp MAC (Modified, Accessed, Created) dei file driver spesso non corrispondono con software legittimo pre-installato.

La memoria volatile può contenere evidenze di servizi rimossi. Se disponibile un dump della memoria, cerca strutture SERVICE_RECORD residue che potrebbero rivelare servizi eliminati ma ancora presenti in memoria.

I prefetch files in C:\Windows\Prefetch documentano l'esecuzione di sc.exe o altri tool di gestione servizi, includendo parametri della linea di comando usati per la creazione. Questi artefatti persistono anche dopo la rimozione del servizio malevolo.

I servizi Windows rappresentano un vettore di persistenza favorito da gruppi APT sofisticati, ciascuno con TTP distintive che permettono l'attribuzione e la predizione di mosse future.

APT32 (OceanLotus) utilizza servizi Windows come meccanismo primario di persistenza, spesso combinandoli con PowerShell encoded payloads. Il gruppo crea servizi con nomi che imitano software legittimi vietnamiti o componenti Windows localizzati. La loro firma distintiva include l'uso di servizi che caricano DLL da percorsi non standard, spesso mascherati come aggiornamenti di sistema.

Lazarus Group dimostra capacità avanzate nell'uso di servizi per i loro attacchi finanziari. Le loro campagne del 2016 contro il Bangladesh Bank includevano servizi che installavano backdoor modulari. Il gruppo favorisce nomi di servizi brevi e apparentemente casuali, ma seguono pattern ricorrenti come consonanti seguite da numeri (es: "msv80", "wnd32").

FIN7 ha evoluto l'uso dei servizi verso approcci più sofisticati. Durante le loro operazioni di Big Game Hunting, creano servizi che fungono da loader per ransomware. Caratteristica distintiva: utilizzano sempre servizi con descrizioni dettagliate e credibili, spesso copiando descrizioni da servizi Microsoft legittimi.

Carbanak rappresenta l'eccellenza nell'uso di servizi per persistenza finanziaria. I loro servizi spesso includono funzionalità di watchdog che reinstallano componenti rimossi. Pattern geografico: targeting preferenziale di istituzioni finanziarie nell'Europa dell'Est, con servizi nominati usando caratteri cirillici traslitterati.

I trend emergenti mostrano un'evoluzione verso servizi "fileless" che esistono solo in memoria o utilizzano LOLBins. I gruppi APT stanno convergendo verso l'uso di driver vulnerabili firmati (BYOVD) per aggirare le protezioni moderne. La condivisione di TTP tra gruppi affiliati significa che tecniche sviluppate da un gruppo appaiono rapidamente negli arsenal di altri, specialmente tra attori nordcoreani che dimostrano significativa sovrapposizione operativa.

Framework MITRE ATT&CK T1543.003, analisi delle campagne Operation Honeybee e Operation CuckooBees, report tecnici su APT32, Lazarus Group, FIN7 e Carbanak. Dati di detection basati su implementazioni real-world di Sysmon e Windows Event Log analysis.