Movimento Laterale via WinRM: Windows Remote Management (T1021.006)

Il modo più diretto per simulare un lateral movement via WinRM in laboratorio è partire dal presupposto di avere già credenziali valide — esattamente come fanno i gruppi reali documentati. Il test serve a validare se il blue team rileva la sessione remota, la creazione di processi figli e le connessioni sulle porte caratteristiche.

Abilitazione del servizio sul target. In un lab controllato, assicurati che WinRM sia attivo sull'host destinazione:

Enable-PSRemoting -Force

Questo comando configura il listener HTTP sulla porta 5985, crea le regole firewall necessarie e avvia il servizio WinRM. Su macchine di dominio la configurazione è spesso già attiva via GPO.

Sessione interattiva con PowerShell nativo. Il metodo più semplice per simulare ciò che gruppi come Chimera e Threat Group-3390 hanno fatto in-the-wild:

Enter-PSSession -ComputerName TARGET -Credential (Get-Credential)

Una volta nella sessione, esegui comandi di ricognizione tipici: whoami /priv, ipconfig /all, net group "Domain Admins" /domain. Questo genera la catena di eventi che il SOC deve intercettare.

Esecuzione remota non interattiva. Per simulare l'esecuzione di payload come documentato nella campagna SolarWinds Compromise (C0024), dove APT29 usava WinRM via PowerShell:

Invoke-Command -ComputerName TARGET -ScriptBlock { Start-Process notepad.exe } -Credential $cred

Sostituisci notepad.exe con un binario benigno di test (es. un eseguibile che scrive un marker su disco) per verificare la detection del processo figlio generato da wsmprovhost.exe.

Evil-WinRM per test avanzati. Il tool Evil-WinRM (open source) è esattamente quello usato da Storm-0501 nelle operazioni documentate. Da una macchina Linux di attacco:

evil-winrm -i TARGET_IP -u utente -p password

Evil-WinRM offre funzionalità aggiuntive come upload/download di file, caricamento di script PowerShell in memoria e integrazione con DLL .NET. Questo permette di testare scenari più complessi rispetto alla semplice sessione nativa.

Simulazione con framework C2. Sia Cobalt Strike (a pagamento) sia Brute Ratel C4 (a pagamento) supportano il pivoting via WinRM. In Cobalt Strike il comando è jump winrm64 TARGET listener, che genera una sessione beacon sull'host remoto passando attraverso il protocollo WS-Management. SILENTTRINITY (open source) offre un modulo che enumera i TrustedHosts e si muove lateralmente verso quei target.

La sfida nel rilevare WinRM malevolo è separarlo dall'uso amministrativo legittimo, che in molte organizzazioni è quotidiano e massiccio. La strategia vincente è combinare più segnali deboli in una correlazione temporale stretta.

Log source fondamentali. Quattro canali di log coprono l'intera catena di detection:

• Windows Security Log — EventCode 4624 con Logon Type 3 (network logon) dall'host sorgente, correlato con l'account utilizzato
• Sysmon (open source) — EventCode 1 (Process Create) per intercettare wsmprovhost.exe e i suoi processi figli, che sono il segnale più affidabile di una sessione WinRM attiva
• WinRM Operational Log (Microsoft-Windows-WinRM/Operational) — EventCode 91 (creazione sessione) ed EventCode 168 (autenticazione)
• Network traffic — connessioni TCP verso porta 5985/5986 tra host che normalmente non comunicano su quelle porte

La regola di correlazione chiave. L'analisi comportamentale documentata (DET0477) si basa su una finestra temporale ristretta: se entro 60 secondi dalla creazione di una shell remota (EventCode 91 nel log WinRM) compare un processo figlio di wsmprovhost.exe con command line sospetta, l'alert deve scattare. I parametri di tuning sono cruciali: definisci una lista di KnownAdminHosts — le workstation degli amministratori autorizzati — e filtra il loro traffico WinRM legittimo. Concentra l'attenzione sulle sessioni originate da host non presenti in questa whitelist.

Il secondo indicatore forte è il contesto utente: sessioni WinRM aperte da account non-admin, account di servizio, o utenti che non hanno mai usato WinRM prima meritano un alert a priorità alta. Integra uno score di anomalia sulla command line: comandi PowerShell codificati in Base64 (-EncodedCommand), invocazioni di Invoke-Expression, download da URI esterni sono segnali di abuso.

Gestione dei falsi positivi. Gli strumenti di configuration management come Ansible, SCCM e DSC usano WinRM intensivamente. Crea baseline per questi sistemi monitorando per due settimane le sorgenti, le destinazioni e gli orari delle sessioni WinRM legittime. Tutto ciò che esce dal pattern — orari insoliti, destinazioni nuove, account diversi — diventa alert. Valuta anche l'impiego di soluzioni PAM come CyberArk (a pagamento) o BeyondTrust (a pagamento) per forzare sessioni WinRM attraverso un jump host monitorato, riducendo drasticamente il rumore.

Quando il lateral movement via WinRM è sospettato, la ricostruzione forense si articola su artefatti endpoint ben definiti che permettono di tracciare con precisione chi si è connesso, da dove, e cosa ha eseguito.

Artefatti sul sistema destinazione. Il punto di partenza è il Windows Security Event Log: cerca gli eventi 4624 (Logon Type 3) correlati temporalmente con eventi 4672 (Special Privileges Assigned). La combinazione dei due indica un accesso di rete con privilegi elevati — il pattern tipico del lateral movement con credenziali amministrative. Il campo WorkstationName e il Source Network Address nell'evento 4624 identificano l'host sorgente.

Il canale Microsoft-Windows-WinRM/Operational è altrettanto prezioso. L'evento 91 registra la creazione della shell remota, mentre l'evento 168 documenta il meccanismo di autenticazione. Se Sysmon era attivo, l'evento 1 (Process Create) mostra la catena: il servizio svchost.exe che ospita WinRM genera wsmprovhost.exe, che a sua volta genera i processi figlio eseguiti dall'attaccante. Il campo ParentImage che punta a wsmprovhost.exe è un indicatore forense solido.

Artefatti sul sistema sorgente. Sul host da cui è partita la connessione, cerca nella PowerShell ScriptBlock Logging (EventCode 4104) le invocazioni di Invoke-Command, Enter-PSSession o New-PSSession con parametri -ComputerName che puntano al target. Se il logging era attivo, troverai l'intero contenuto dello script eseguito. Il file ConsoleHost_history.txt nel profilo utente PowerShell (percorso %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\) può conservare i comandi digitati anche dopo la chiusura della sessione.

Ricostruzione della timeline. Nella campagna SolarWinds Compromise (C0024), APT29 ha utilizzato WinRM via PowerShell per eseguire comandi e payload su host remoti. Il pattern forense tipico di questa campagna prevede: logon di rete → creazione shell WinRM → esecuzione di comandi di ricognizione → deployment di payload aggiuntivi. L'analisi dei Prefetch per wsmprovhost.exe sull'host destinazione conferma l'esecuzione e fornisce timestamp addizionali.

Per Operation MidnightEclipse (C0048), dove il lateral movement WinRM è avvenuto dopo lo sfruttamento della CVE-2024-3400 su dispositivi PAN-OS, verifica le connessioni in ingresso sulla porta 5985/5986 nei log firewall e correla i timestamp con gli eventi WinRM sugli endpoint interni.

Infine, analizza i log di Windows Event Forwarding se configurato, e le connessioni di rete catturate da Sysmon (EventCode 3) con porta destinazione 5985 o 5986 per mappare l'intero grafo di movimento laterale.

Il panorama dei gruppi che abusano di WinRM rivela un dato interessante: questa tecnica è trasversale, adottata sia da attori state-sponsored sia da gruppi con motivazione finanziaria, e rappresenta un indicatore di maturità operativa.

Wizard Spider è il gruppo finanziariamente motivato più prolifico tra quelli mappati. Noto per le campagne ransomware basate su Ryuk e Conti, utilizza WinRM come complemento ai suoi strumenti di lateral movement. La scelta di WinRM riflette una precisa strategia: dopo il compromesso iniziale, Wizard Spider preferisce tool nativi Windows che si confondono con l'attività amministrativa legittima, riducendo la probabilità di detection durante la fase critica di distribuzione del ransomware.

Threat Group-3390, attore di spionaggio attribuito alla Cina, impiega WinRM per abilitare l'esecuzione remota nelle reti target. Il gruppo opera tradizionalmente contro organizzazioni governative e del settore difesa, e l'uso di WinRM si inserisce in un approccio living-off-the-land che minimizza il deployment di tool custom facilmente individuabili.

Chimera, altro gruppo con nexus cinese, utilizza WinRM per il lateral movement con un profilo operativo focalizzato sul furto di proprietà intellettuale, in particolare nel settore aeronautico e dei semiconduttori.

FIN13 si distingue per l'uso di WMI — strettamente integrato con WinRM — per muoversi lateralmente attraverso application server e SQL server. Questo pattern suggerisce un targeting mirato su ambienti enterprise con infrastrutture applicative complesse, tipico di operazioni a lungo termine.

Storm-0501 rappresenta l'evoluzione più recente: l'adozione esplicita di Evil-WinRM come tool post-exploitation indica familiarità con il toolkit open source della community offensive e suggerisce operatori con background nel penetration testing.

Dal punto di vista dei pattern, la convergenza su WinRM da parte di attori eterogenei indica che questa tecnica è diventata un standard operativo del lateral movement. L'overlap di tooling è significativo: Cobalt Strike e Brute Ratel C4 — entrambi framework C2 commerciali o semi-commerciali — supportano nativamente il pivoting WinRM, mentre SILENTTRINITY aggiunge la capacità di enumerare automaticamente i TrustedHosts per espandere il raggio d'azione. La campagna SolarWinds Compromise (C0024) dimostra che anche attori sofisticati come APT29 preferiscono WinRM via PowerShell rispetto a soluzioni custom, confermando il trend del living-off-the-land nelle operazioni di alto livello.

Framework MITRE ATT&CK v16 — T1021.006 (Windows Remote Management), TA0008 (Lateral Movement). Campagne: C0024 (SolarWinds Compromise), C0048 (Operation MidnightEclipse). Detection: DET0477 (Behavioral Detection of WinRM-Based Remote Access). Tool di detection: Sysmon, PowerShell ScriptBlock Logging. Integrato con conoscenza professionale per tool e procedure operative.