Sfruttare le Esclusioni AV: File/Path Exclusions (T1564.012)

Per identificare le esclusioni AV in ambiente Windows, inizia con la query delle policy di Windows Defender. Il comando PowerShell Get-MpPreference | Select-Object -ExpandProperty ExclusionPath rivela immediatamente tutti i percorsi esclusi dalla scansione.

Su sistemi con antivirus di terze parti, l'approccio richiede maggiore creatività. Cerca file di configurazione XML o JSON nelle directory di installazione del prodotto AV. Per Symantec Endpoint Protection, ad esempio, le esclusioni risiedono spesso in sylink.xml.

La fase successiva prevede il deployment del payload. Su Windows, copia il tuo eseguibile malevolo in una directory esclusa con copy malware.exe "C:\Program Files\Microsoft Exchange Server\V15\FrontEnd\HttpProxy\owa\auth". Questo percorso è comunemente escluso nei server Exchange per evitare interferenze con il servizio.

Per Linux, sfrutta le esclusioni di auditd. Verifica prima le regole attive con auditctl -l | grep exclude, poi posiziona il payload in directory come /var/lib/docker/ o percorsi personalizzati identificati. Il comando cp payload.sh /var/lib/docker/overlay2//merged/tmp/* nasconde efficacemente il file nelle overlay di Docker.

Su macOS, le cache temporanee offrono opportunità simili. Directory come ~/Library/Caches/ sono spesso ignorate da XProtect. Usa *cp malware ~/Library/Caches/com.apple.installd/` per sfruttare queste lacune.

La persistenza richiede un approccio sofisticato. Crea symlink da directory monitorate verso quelle escluse, permettendo l'esecuzione del payload senza triggare allarmi. Su Windows: mklink /D C:\Users\Public\Libraries C:\ExcludedPath\payload.

La detection efficace richiede il monitoraggio delle scritture anomale in percorsi esclusi. Configura Sysmon con l'Event ID 11 per catturare la creazione di file, filtrando specificamente sulle directory note per essere escluse dall'AV aziendale.

La correlazione temporale diventa fondamentale. Un file creato in C:\Windows\Temp seguito entro 30 secondi da un processo spawn dallo stesso percorso rappresenta un indicatore ad alta fedeltà. Implementa questa logica nel tuo SIEM con query che correlano EventCode 11 (FileCreate) con EventCode 1 (ProcessCreate).

Per Linux, auditd offre visibilità granulare. La regola -w /tmp -p w -k excluded_path_write monitora le scritture in /tmp, ma il vero valore deriva dalla correlazione con syscall execve successive. Un file scritto da un processo web server in una directory esclusa merita investigazione immediata.

L'analisi comportamentale riduce i falsi positivi. Mantieni una baseline dei processi legittimi che scrivono in percorsi esclusi: Exchange scrive regolarmente in specifiche sottodirectory, mentre un processo PowerShell che scrive negli stessi percorsi rappresenta un'anomalia.

Su macOS, unified log fornisce context prezioso. Query come log show --predicate 'eventMessage contains "Library/Caches" AND processImagePath contains "Terminal"' identificano scritture sospette nelle cache da processi interattivi.

La gestione dei falsi positivi richiede tuning continuo. Crea allowlist dinamiche basate su hash dei file legittimi e processi parent autorizzati. Un file scritto da msiexec.exe in una directory esclusa durante un'installazione software pianificata può essere ignorato, mentre lo stesso comportamento da cmd.exe richiede attenzione.

L'analisi forense delle esclusioni AV inizia identificando quali percorsi erano effettivamente esclusi al momento dell'incidente. Su Windows, il registro HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths contiene le esclusioni correnti, ma versioni precedenti potrebbero risiedere nei Volume Shadow Copy.

Gli artefatti chiave includono timestamp di creazione file nei percorsi esclusi. NTFS mantiene quattro timestamp per file: Creation, Modification, Access e MFT Entry Modified. Discrepanze tra questi valori, come un Creation Time più recente del MFT Entry Modified, suggeriscono timestomping.

Per ricostruire l'attività di Turla con LunarWeb, cerca pattern specifici. Il gruppo tipicamente crea strutture di directory che mimano installazioni legittime, con nomi file che si confondono con componenti di sistema. Analizza $MFT per identificare cluster di file creati in rapida successione in directory escluse.

Su Linux, il journal di systemd offre visibilità retroattiva. Il comando journalctl --since "2024-01-01" | grep -E "(tmp|var/lib)" può rivelare processi anomali che hanno interagito con directory comunemente escluse. Correla questi eventi con modifiche in /etc/audit/rules.d/ che potrebbero indicare tentativi di hiding.

La timeline reconstruction beneficia dell'analisi dei prefetch files su Windows. File .pf in C:\Windows\Prefetch\ documentano esecuzioni da qualsiasi percorso, inclusi quelli esclusi. Un eseguibile lanciato da una directory esclusa genera comunque un prefetch file, fornendo timestamp e conteggio esecuzioni.

Memory forensics completa il quadro. Processi in esecuzione da percorsi esclusi mantengono handle aperti identificabili con Volatility. Il plugin filescan rivela file mappati in memoria anche se successivamente eliminati dal filesystem.

Turla rappresenta l'esempio paradigmatico di utilizzo sofisticato delle esclusioni AV. Questo gruppo russo, attivo dal 1996, dimostra patience e metodicità nell'identificare e sfruttare le esclusioni specifiche di ogni ambiente target. La loro preferenza per directory di sistema legittime riflette un approccio che privilegia la persistenza a lungo termine rispetto all'azione immediata.

L'analisi delle campagne di Turla rivela pattern geografici distintivi. Targeting primario su istituzioni governative e militari in Europa dell'Est, con particolare focus su ambasciate e ministeri degli esteri. La scelta di LunarWeb come payload in directory escluse suggerisce operazioni di spionaggio prolungato piuttosto che smash-and-grab.

Il tool overlap analysis mostra che gruppi con TTP simili includono APT29 (Cozy Bear) e Equation Group. Tutti condividono la caratteristica di privilegiare stealth e persistenza, suggerendo che l'uso di esclusioni AV sia particolarmente attraente per operazioni di cyber-espionage statali.

Le implicazioni per il threat hunting sono significative. Organizzazioni nel settore governativo o diplomatico dovrebbero implementare monitoraggio enhanced sui percorsi comunemente esclusi. La presenza di file con nomi generici come update.exe o service.dll in directory escluse merita investigazione prioritaria.

Trend emergenti indicano evoluzione verso esclusioni cloud-native. Con la migrazione verso ambienti containerizzati, prevediamo shift verso abuse di esclusioni in /var/lib/docker/ e percorsi Kubernetes. Threat hunter dovrebbero anticipare questa evoluzione aggiornando le proprie detection capabilities.

Tecnica documentata nel MITRE ATT&CK Framework come T1564.012. Campagne Turla analizzate attraverso report di threat intelligence. Best practice di detection derivate da implementazioni real-world in ambienti enterprise. Riferimenti forensi basati su incident response documentati.