Persistenza via Shortcut: Shortcut Modification (T1547.009)

L'obiettivo in un engagement red team è dimostrare che la persistenza via shortcut è banale da ottenere e difficile da individuare senza telemetria adeguata. Il test si articola in tre fasi: creazione dello shortcut, verifica dell'esecuzione al login e pulizia.

Creazione di un .lnk nella Startup folder con PowerShell. Questo è il pattern più replicato dai malware censiti — da RogueRobin a Bazar, quasi tutti puntano alla cartella Startup dell'utente corrente.

$ws = New-Object -ComObject WScript.Shell; $sc = $ws.CreateShortcut("$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup\Updater.lnk"); $sc.TargetPath = "C:\Temp\payload.exe"; $sc.WindowStyle = 7; $sc.Save()

Il parametro WindowStyle = 7 minimizza la finestra, riducendo la visibilità per l'utente. Dopo il salvataggio, un semplice logout/login conferma l'esecuzione automatica.

Modifica di un collegamento esistente. Il secondo scenario replica il comportamento di MarkiRAT, che altera il target di Telegram per anteporre il proprio eseguibile. Con lo stesso approccio COM:

$ws = New-Object -ComObject WScript.Shell; $sc = $ws.CreateShortcut("C:\Users\Public\Desktop\Telegram.lnk"); $sc.TargetPath = "C:\Temp\wrapper.exe"; $sc.Arguments = "C:\Program Files\Telegram\Telegram.exe"; $sc.IconLocation = "C:\Program Files\Telegram\Telegram.exe,0"; $sc.Save()

Il wrapper lancia il payload e poi il programma legittimo, mantenendo l'apparenza di normalità. L'icona resta identica all'originale grazie al campo IconLocation.

Verifica con strumenti nativi. Per confermare che lo shortcut è in posizione, senza tool esterni:

*Get-ChildItem "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup" -Filter .lnk | Select-Object Name, LastWriteTime

Su un test più avanzato, il framework Empire (open source) offre un modulo dedicato che persiste modificando file .lnk esistenti, utile per dimostrare la catena end-to-end in un esercizio purple team. Lo strumento LNKUp di Harmj0y (open source) consente di generare file .lnk con payload personalizzati direttamente da riga di comando, ideale per automatizzare la fase di weaponization in laboratorio.

Ricorda di documentare hash e timestamp di ogni artefatto creato, per facilitare il clean-up e la correlazione con il blue team.

La detection di questa tecnica si basa su un principio chiaro: i file .lnk nelle directory di autostart cambiano raramente in ambienti stabili. Ogni scrittura in quelle cartelle che non correli con un'installazione software nota o un aggiornamento del sistema operativo merita attenzione.

Sysmon è il sensore primario. L'EventCode 11 (FileCreate) cattura la creazione di file .lnk nella Startup folder. La regola di detection documentata suggerisce di correlare questo evento con la lineage dei processi padre — se un .lnk viene creato da powershell.exe, wscript.exe, cmd.exe o da un processo figlio di un client email, la priorità dell'alert sale drasticamente. Una buona regola Sysmon filtra sul campo TargetFilename con una regex che intercetti i percorsi canonici:

\Microsoft\Windows\Start Menu\Programs\Startup*.lnk

e i percorsi equivalenti nella cartella ProgramData per la Startup condivisa tra utenti.

Correlazione con il Zone Identifier. I file scaricati da Internet portano l'Alternate Data Stream Zone.Identifier con ZoneId=3. Se un .lnk nella Startup folder ha questo marcatore, è quasi certamente arrivato via browser o email — scenario coerente con una catena di spearphishing. La detection può usare il parametro di tuning ZoneIdentifierThreshold per filtrare in base a questa proprietà.

Gestione dei falsi positivi. Il rumore principale arriva da installazioni software legittime che creano shortcut nella Startup (ad esempio client VPN, tool di collaborazione). Il tuning suggerito prevede tre filtri:

• UserContextScope: distinguere installazioni amministrative (che passano da msiexec.exe o setup.exe) da creazioni manuali dell'utente
• TargetPathRegex: escludere percorsi target firmati e noti, flaggare quelli che puntano a %TEMP%, %APPDATA%\Local\Temp o contengono stringhe offuscate
• TimeWindow: correlare creazione del .lnk con l'esecuzione del binario target entro una finestra di 5 minuti — se il binario puntato viene eseguito subito dopo il login successivo, il sospetto cresce

L'EventCode 1 (ProcessCreate) di Sysmon completa il quadro: un processo che parte con ParentCommandLine contenente un percorso Startup e punta a un eseguibile non firmato è un indicatore ad alta fedeltà. Su ambienti senza Sysmon, il Windows Security Log con EventID 4688 (Process Creation) con audit avanzato abilitato offre una copertura parziale ma utile.

Per il layer preventivo, le tre mitigazioni censite coprono angoli complementari: i permessi restrittivi sulle cartelle Startup (Restrict File and Directory Permissions) riducono la superficie, il controllo applicativo (Execution Prevention) tramite AppLocker o WDAC (entrambi integrati in Windows) blocca l'esecuzione di binari non autorizzati anche se il .lnk viene creato, e la gestione degli account (User Account Management) limita chi può scrivere nelle directory critiche.

L'analisi forense di un caso di Shortcut Modification ruota intorno a tre classi di artefatti: il file .lnk stesso, i metadati del filesystem e le tracce di esecuzione del payload puntato.

Parsing del file .lnk. I file collegamento di Windows contengono una struttura binaria ricca di metadati investigativi. Lo strumento LECmd di Eric Zimmerman (open source) è lo standard de facto per estrarre in formato strutturato i campi critici: target path, argomenti, working directory, timestamp di creazione/modifica/accesso, e soprattutto il Machine ID e il MAC address del volume seriale della macchina che ha generato il file. Se il .lnk è stato creato su una macchina diversa da quella della vittima — scenario comune nelle campagne di spearphishing come quelle di Astaroth — questi metadati rivelano l'infrastruttura dell'attaccante.

LECmd.exe -f "C:\Users\victim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Updater.lnk" --csv C:\output

Il campo RelativePath merita attenzione particolare: malware come S-Type crea shortcut con percorsi che puntano a eseguibili mascherati (ad esempio msdtc.exe posizionato in %CommonFiles% anziché nella directory di sistema legittima).

Timeline del filesystem. I timestamp NTFS del .lnk raccontano la sequenza degli eventi. Il timestamp di creazione ($SI_Created) indica quando lo shortcut è stato piazzato; confrontandolo con i log di accesso alla casella email o al browser, si ricostruisce la finestra di infezione iniziale. Lo strumento MFTECmd (open source, sempre di Zimmerman) applicato alla $MFT permette di estrarre anche i timestamp dal record $FILENAME, più resistenti alla manipolazione rispetto a quelli di $STANDARD_INFORMATION.

MFTECmd.exe -f "C:$MFT" --csv C:\output

Filtrando l'output CSV per il percorso della Startup folder si ottiene la timeline precisa di tutti i file creati in quella directory.

Evidenze di esecuzione. Una volta identificato il target del .lnk, bisogna provare che il payload è stato effettivamente eseguito. Le fonti principali sono:

• Prefetch: il file .pf del binario target (nella cartella C:\Windows\Prefetch) contiene timestamp di ultima esecuzione e conteggio delle run. Lo strumento PECmd (open source) lo analizza in formato strutturato
• Amcache.hve: registra hash SHA1 e percorso dei binari eseguiti, utile per correlare il payload con campioni noti
• SRUM (System Resource Usage Monitor): registra l'utilizzo di rete e CPU per processo, permettendo di attribuire traffico C2 al binario puntato dallo shortcut

Nel caso specifico di Gazer, il malware modifica shortcut esistenti per essere lanciato attraverso cmd.exe con argomenti — il che lascia traccia anche nei log del registro eventi, dove il campo CommandLine dell'EventID 4688 mostra la catena cmd.exe /c seguita dal percorso malevolo.

Per le campagne che usano .lnk come vettore di infezione iniziale (come Astaroth), non dimenticare l'Alternate Data Stream Zone.Identifier: il suo contenuto rivela l'URL di provenienza del file, collocando l'artefatto nella catena di delivery.

Quattro gruppi APT utilizzano questa tecnica, distribuiti su aree geografiche e obiettivi molto diversi, ma accomunati dalla scelta di un meccanismo di persistenza a basso costo operativo.

Lazarus Group (G0032) impiega file .lnk nella cartella Startup dell'utente come meccanismo di persistenza per i propri malware. Il gruppo è noto per operazioni che spaziano dallo spionaggio al furto finanziario, e la scelta di una tecnica così basilare per la persistenza suggerisce una strategia deliberata: nei contesti in cui il malware deve sopravvivere su endpoint con scarsa telemetria, uno shortcut nella Startup è più affidabile di meccanismi registry-based che potrebbero essere monitorati da AV di fascia bassa.

APT39 (G0087) modifica shortcut .lnk esistenti. Questo approccio è più sofisticato della semplice creazione: alterare un collegamento già presente riduce la probabilità di detection, perché non genera un nuovo file ma modifica uno esistente. Il pattern si allinea alla tendenza del gruppo a privilegiare operazioni "low and slow" con enfasi sull'evasione.

Leviathan (G0065) si distingue per l'uso di JavaScript nella catena: il gruppo utilizza codice JS per creare un file shortcut nella cartella Startup che punta alla propria backdoor principale. L'uso di JavaScript come intermediario aggiunge un layer di indirezione e offusca la vera natura del payload al momento della creazione del .lnk.

Gorgon Group (G0078) combina la tecnica con chiavi di registro Run, adottando un approccio a doppia persistenza. Se una delle due viene rimossa durante un intervento di incident response parziale, l'altra garantisce la sopravvivenza — un pattern che l'analista CTI dovrebbe cercare come firma comportamentale.

Sul fronte software, il panorama dei 25 tool censiti mostra una concentrazione massiccia sul pattern "crea .lnk nella Startup folder" — è il caso di RogueRobin, RedLeaves, Okrum, Bazar, SeaDuke, BACKSPACE, Kazuar e molti altri. Due varianti meritano attenzione speciale. MarkiRAT non crea shortcut nuovi ma sostituisce il target di applicazioni desktop come Telegram, trasformando il collegamento legittimo in un vettore di esecuzione — una tecnica di hijacking più difficile da rilevare. Grandoreiro, malware bancario, modifica gli shortcut dei browser per caricare estensioni malevole, spostando il vettore dal filesystem alla sessione web.

Per il tracking predittivo, il punto critico è la correlazione tra persistenza LNK e vettore di ingresso: quando si identifica un .lnk malevolo in un'indagine, verificare se il gruppo associato usa anche spearphishing con allegati (come nel caso di Astaroth) permette di ricostruire la kill chain completa e anticipare i movimenti laterali successivi.

Framework MITRE ATT&CK v16 — T1547.009 (Shortcut Modification), TA0003, TA0004. Gruppi: G0032, G0065, G0078, G0087. Mitigazioni: M1018, M1022, M1038. Detection: DET0180/AN0510. Tool di analisi citati: LECmd, MFTECmd, PECmd (Eric Zimmerman), Sysmon, AppLocker, WDAC. Integrato con conoscenza professionale per tool e procedure operative.