Sfiguramento Interno: Internal Defacement (T1491.001)

Il defacement interno richiede privilegi elevati già ottenuti. Su Windows, la modifica del wallpaper desktop può avvenire attraverso registry o PowerShell:

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "C:\ransom_note.bmp" /f

Per forzare l'aggiornamento immediato del desktop senza riavvio, combina il comando precedente con:

RUNDLL32.EXE user32.dll,UpdatePerUserSystemParameters

Su sistemi Linux, l'approccio varia in base al desktop environment. Per GNOME, utilizza gsettings:

gsettings set org.gnome.desktop.background picture-uri "file:///tmp/defaced.png"

La modifica dei banner di login richiede accesso root. Il file /etc/motd controlla il messaggio post-login su tutti i sistemi Unix-like:

echo "YOUR SYSTEM HAS BEEN COMPROMISED" > /etc/motd

Per sistemi web interni, la sostituzione dell'index.html rappresenta l'approccio più diretto. Su Apache/Nginx standard:

cp defacement.html /var/www/html/index.html

Gli attaccanti sofisticati automatizzano il processo attraverso script che iterano su tutti gli utenti del dominio. PowerShell offre capacità native per questo:

Get-ADUser -Filter * | ForEach-Object { Set-ItemProperty -Path "Registry::HKEY_USERS$($_.SID)\Control Panel\Desktop" -Name Wallpaper -Value "\fileserver\share\ransom.jpg" }

Su macOS, AppleScript permette modifiche desktop programmatiche:

osascript -e 'tell application "Finder" to set desktop picture to POSIX file "/tmp/defaced.jpg"'

L'aspetto più insidioso riguarda la persistenza delle modifiche. Molti ransomware creano task schedulati che ripristinano il wallpaper modificato anche dopo tentativi di rimozione manuale.

La detection del defacement interno richiede monitoraggio multilivello. Su Windows, Sysmon cattura modifiche al registry desktop attraverso l'EventCode 13 per RegistryValueSet.

Monitora specificamente la chiave: HKEY_CURRENT_USER\Control Panel\Desktop\Wallpaper

Le modifiche legittime al wallpaper sono rare in ambiente enterprise. Questo riduce drasticamente i falsi positivi rispetto ad altre tecniche di detection.

Per sistemi web interni, implementa file integrity monitoring su directory critiche. Ogni modifica a /var/www/html deve generare un alert immediato, specialmente se avviene fuori orario di manutenzione.

Su Linux, auditd permette tracking granulare delle modifiche ai file di sistema:

-w /etc/motd -p wa -k system_banner_change -w /etc/issue -p wa -k login_banner_change

Il comportamento anomalo più evidente riguarda account di servizio che modificano impostazioni desktop. Un account SYSTEM che altera wallpaper rappresenta un indicatore di compromissione ad alta confidenza.

Per ESXi, monitora le modifiche a /etc/motd attraverso i log hostd. Le alterazioni al banner di login su hypervisor sono estremamente rare e meritano investigazione immediata.

La correlazione temporale è fondamentale: defacement spesso segue immediatamente l'encryption dei dati in attacchi ransomware. Un alert per modifica wallpaper preceduto da massive file writes indica scenario ransomware in corso.

Implementa threshold basati su volumetria: più di 5 modifiche wallpaper in 60 secondi suggeriscono script automatizzato in esecuzione. Questo pattern distingue attività malevola da modifiche amministrative legittime.

Il defacement lascia tracce forensi distintive che aiutano a ricostruire la timeline dell'attacco. Su Windows, il registry mantiene timestamp delle modifiche desktop in multiple location.

La chiave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Wallpaper\MRU contiene la history dei wallpaper recenti con relativi timestamp. Questo permette di identificare l'esatto momento del defacement.

I file di immagine utilizzati per il defacement spesso risiedono in directory temporanee. L'analisi del Master File Table (MFT) rivela quando questi file sono stati creati e da quale processo.

Lazarus Group ha dimostrato pattern specifici: sostituiscono il wallpaper DOPO aver eseguito disk wiping, utilizzando l'immagine come "firma" dell'attacco. L'immagine threatening viene tipicamente droppata in C:\Windows\Temp prima dell'uso.

Su Linux, i timestamp di modifica di /etc/motd e /etc/issue forniscono indicatori temporali precisi. L'analisi dei log auditd correla queste modifiche con l'account utilizzato e il processo padre.

Per ransomware come BlackCat e Diavol, la sequenza è predicibile: encryption dei file, creazione bitmap con messaggio, modifica wallpaper. I forensic analyst possono utilizzare questa sequenza per validare la timeline.

L'analisi della memoria volatile può rivelare processi ancora attivi responsabili del defacement. Volatility framework identifica handles aperti verso file di immagine sospetti.

I web log di sistemi interni defacciati mostrano spike di 404 errors quando utenti tentano di accedere risorse sovrascritte. Questo aiuta a determinare quando il defacement è stato notato per la prima volta.

Lazarus Group utilizza defacement come psychological warfare finale. Il gruppo nordcoreano combina disk wiping con immagini threatening, massimizzando il danno reputazionale. Le loro campagne mostrano preferenza per settori financial e entertainment.

Gamaredon Group adotta approccio più personale, lasciando messaggi taunting specifici per le vittime. Questo gruppo russo-aligned targetta principalmente entità ucraine, utilizzando defacement per umiliare pubblicamente le organizzazioni compromesse.

BlackByte rappresenta l'evoluzione ransomware-as-a-service del defacement. Il gruppo droppa ransom notes in ogni directory crittografata, garantendo massima visibilità del ricatto.

L'overlap nei tool è significativo: 9 diversi ransomware implementano capacità di wallpaper modification. Questo suggerisce che il defacement è diventato feature standard nel ransomware moderno, non più optional add-on.

Pattern geografici emergono chiaramente: gruppi Eastern European preferiscono defacement minimalista (solo ransom note), mentre APT asiatici utilizzano immagini elaborate e messaggi ideologici.

Black Basta e Qilin rappresentano la nuova generazione: automatizzano completamente il processo di defacement, rendendolo parte integrale del ransomware payload. Non più azione manuale post-compromise ma componente core dell'attacco.

L'evoluzione verso defacement automatizzato indica trend preoccupante: anche attori meno sofisticati possono ora implementare psychological impact attraverso ransomware commodity.

Tecnica documentata nel framework MITRE ATT&CK con evidenze da Lazarus Group, Gamaredon e BlackByte operations. Analisi basata su 9 malware samples inclusi BlackCat, Diavol e Black Basta ransomware families.