Servizi Windows come Arma: Windows Service (T1543.003)

La simulazione di questa tecnica in un laboratorio red team può seguire diversi percorsi, dal più banale all'elusivo, ciascuno con un valore didattico differente.

Creazione di un servizio malevolo con sc.exe. Il caso base è il più diretto e replica fedelmente ciò che fanno molti malware documentati. Da un prompt con privilegi di amministratore:

sc create EvilSvc binPath= "cmd.exe /c start C:\Temp\payload.exe" start= auto obj= LocalSystem

Nota la sintassi: lo spazio dopo binPath= è obbligatorio in sc.exe. Per avviare il servizio immediatamente: sc start EvilSvc. Questa procedura rispecchia esattamente ciò che Earth Lusca fa con il servizio SysUpdate, concatenando creazione, configurazione e avvio in una sola riga.

Persistenza tramite DLL e ServiceDLL. Diversi malware — tra cui Volgmer, GreyEnergy e Gelsemium — non registrano un eseguibile ma una DLL come ServiceDLL dentro un servizio esistente o nuovo. Per simularlo, crea un servizio di tipo share e imposta la chiave Registry manualmente:

sc create SvcHostTest binPath= "C:\Windows\System32\svchost.exe -k netsvcs" type= share start= auto

Poi, con reg.exe:

reg add "HKLM\System\CurrentControlSet\Services\SvcHostTest\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d "C:\Temp\evil.dll" /f

Simulazione BYOVD. Per replicare la tecnica utilizzata da Medusa Group con driver firmati ma vulnerabili, puoi caricare un driver di test con PnPUtil.exe (open source, incluso in Windows):

pnputil /add-driver C:\Temp\vuln_driver.inf /install

In alternativa, Cobalt Strike (a pagamento) offre il modulo service-exe per installare beacon come servizio. Per chi cerca un'alternativa open source, Metasploit Framework (open source) dispone del modulo exploit/windows/local/service_permissions per individuare servizi con permessi deboli e sostituirne il binario.

Servizio nascosto tramite SDDL. Per replicare la tecnica di hiding, dopo aver creato il servizio:

sc sdset EvilSvc "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)"

Questo nega l'accesso in lettura a utenti interattivi, service account e amministratori, rendendo il servizio invisibile a Get-Service e sc query.

Per la detection validation, Atomic Red Team (open source) offre test specifici per T1543.003 pronti all'uso che automatizzano queste procedure in modo sicuro e reversibile.

Il rilevamento dei servizi malevoli richiede la correlazione di più sorgenti log, poiché affidarsi a un singolo evento genera un tasso di falsi positivi insostenibile. Ecco come costruire una detection stack efficace.

Log source primari. L'evento cardine è il System Event Log, EventID 7045 (A service was installed in the system), che registra ogni nuova installazione di servizio con nome, percorso del binario e tipo di avvio. Affiancalo con Sysmon EventID 12, 13, 14 per intercettare le modifiche al Registry sotto HKLM\System\CurrentControlSet\Services, e con Security Log EventID 4697 (A service was installed in the system), che fornisce il SID dell'utente che ha eseguito l'operazione. Quest'ultimo richiede che la policy "Audit Security System Extension" sia abilitata.

Per la componente driver e BYOVD, Sysmon EventID 6 (Driver Loaded) registra ogni driver caricato nel kernel, con informazioni sulla firma digitale. Correla questo evento con la presenza di file .sys scritti in directory atipiche, rilevabili tramite Sysmon EventID 11 (File Created).

Logica di detection comportamentale. La chiave per ridurre i falsi positivi è combinare condizioni multiple in una regola singola. Un alert ad alta fedeltà potrebbe richiedere contemporaneamente:

• EventID 7045 con ImagePath che punta a directory non standard (C:\Users\, C:\Temp\, C:\ProgramData\)
• Binario non firmato digitalmente (campo Signed = false in Sysmon Event 6/7)
• Nome servizio che imita servizi legittimi ma con variazioni ortografiche (regex pattern: svch0st, winlogin, lsas)

Gestione dei falsi positivi. Software di gestione remota come AnyDesk, TeamViewer e strumenti RMM legittimi si installano regolarmente come servizi. Crea una whitelist basata sul hash del binario piuttosto che sul nome del servizio, perché gli attaccanti — come documentato per BlackByte, che installa AnyDesk come servizio — sfruttano proprio tool legittimi. Una buona pratica è mantenere una baseline dei servizi autorizzati per ogni golden image e generare alert per qualsiasi deviazione.

Controlli preventivi. Abilita le regole Attack Surface Reduction (ASR) su Windows 10/11 per prevenire la scrittura di driver vulnerabili firmati. Attiva la Microsoft Vulnerable Driver Blocklist per il filtraggio preventivo di driver noti come vulnerabili. Per il controllo degli accessi, limita tramite GPO i privilegi necessari per la creazione di servizi ai soli account amministrativi autorizzati, separando gli account di gestione da quelli di uso quotidiano.

Tool consigliati per l'analisi: Sigma (open source) offre regole pronte per gli EventID citati, importabili direttamente in SIEM come Splunk (a pagamento), Elastic Security (freemium) o Microsoft Sentinel (a pagamento).

La ricostruzione forense di una persistenza tramite servizi Windows parte dal Registry e si espande progressivamente verso filesystem e log di sistema. Ogni artefatto contribuisce a un tassello della timeline.

Il Registry come fonte primaria. L'intero albero HKLM\SYSTEM\CurrentControlSet\Services\ è la prima tappa. Ogni chiave-servizio contiene i valori critici: ImagePath (percorso dell'eseguibile o DLL), Start (tipo di avvio: 2 = automatico, 3 = manuale), Type, e l'eventuale sotto-chiave Parameters\ServiceDll per i servizi ospitati da svchost.exe. Nel caso di Industroyer, utilizzato nella campagna 2016 Ukraine Electric Power Attack (C0025), gli analisti trovarono il valore ImagePath di un servizio legittimo sostituito con il percorso di un backdoor binary, una tecnica che lascia intatta la chiave-servizio originale ma ne altera il contenuto.

Per recuperare versioni precedenti dei valori Registry, analizza i Registry Transaction Logs (file .LOG1 e .LOG2 nella directory C:\Windows\System32\config\) con Registry Explorer di Eric Zimmerman (gratuito). L'hive SYSTEM mantiene anche timestamp LastWriteTime per ogni chiave, permettendo di datare la creazione o modifica del servizio con precisione.

Artefatti filesystem. Cerca i binari referenziati dai servizi sospetti. Molti malware si copiano in directory di sistema per mimetizzarsi: Conficker si installa in %systemroot%\system32, Gelsemium si maschera da print processor in C:\Windows\System32\spool\prtprocs\x64\. Analizza i Prefetch (C:\Windows\Prefetch\) per individuare la prima esecuzione del binario malevolo e le NTFS $MFT timestamps per ricostruire quando il file è stato scritto su disco.

Correlazione con i log eventi. L'EventID 7045 nel System log fornisce il timestamp esatto di installazione del servizio. Incrocia questo dato con gli eventi di logon (EventID 4624) per identificare quale sessione ha registrato il servizio e se l'operazione è avvenuta da remoto (logon type 3 o 10). Per la campagna Operation CuckooBees (C0012), i servizi IKEEXT e PrintNotify modificati dagli attaccanti possono essere tracciati correlando la modifica Registry con l'evento 7045 e i file DLL depositati nelle directory di sistema.

Analisi driver BYOVD. Quando il vettore è un driver, esamina la directory C:\Windows\System32\drivers\ e verifica le firme digitali con Sigcheck di Sysinternals (gratuito): *sigcheck -e -u C:\Windows\System32\drivers\**. Il flag -u mostra solo i file non firmati o con firma non valida. Correla i risultati con il database LOLDrivers (open source), che cataloga i driver vulnerabili noti utilizzati in attacchi BYOVD.

La tecnica T1543.003 è una delle più trasversali nel panorama delle minacce, adottata da gruppi con motivazioni e capacità operative profondamente diverse. Mappare i pattern di utilizzo consente di costruire profili predittivi utili per l'intelligence strategica.

APT41 emerge come l'attore più prolifico e sofisticato nell'abuso dei servizi Windows. Non si limita alla creazione di servizi ex novo, ma modifica quelli esistenti per iniettare backdoor, una tecnica che richiede conoscenza approfondita dell'ambiente target. Nella campagna Operation CuckooBees (C0012), che ha colpito aziende tecnologiche e manifatturiere tra Europa occidentale, Asia orientale e Nord America dal 2019 al 2022, il gruppo ha alterato i servizi IKEEXT e PrintNotify per la persistenza. Nella più recente APT41 DUST (C0040), condotta tra il 2023 e il 2024 contro settori logistici e media in Europa, Asia e Medio Oriente, ha utilizzato servizi con nomi come Windows Defend per persistere con DUSTPAN. La creazione del servizio StorSyncSvc per Cobalt Strike conferma la preferenza per nomi che mimano componenti Microsoft.

Lazarus Group rappresenta il fronte nordcoreano, con molteplici famiglie malware che si installano come servizi. Il gruppo condivide questo modus operandi con Kimsuky, altro attore attribuito alla DPRK, suggerendo possibili framework condivisi o dottrine operative comuni all'interno dell'ecosistema cyber nordcoreano. La campagna Operation Honeybee (C0006), che tra il 2017 e il 2018 ha preso di mira organizzazioni umanitarie e relazioni inter-coreane espandendosi dalla Corea del Sud verso il sud-est asiatico e le Americhe, ha visto l'installazione di DLL e backdoor come servizi Windows.

Il cluster di cyber-espionage cinese mostra una densità notevole: Aquatic Panda si distingue per il mascheramento dei servizi con nomi legittimi, Ke3chang utilizza servizi con nomi specifici come Nwsapagent per il backdoor RoyalDNS, Threat Group-3390 genera nomi dai file di configurazione, e Earth Lusca automatizza la catena completa creazione-configurazione-avvio in un singolo comando. Lotus Blossom configura strumenti come Sagerunex per operare come servizi, mentre TONESHELL e BOOKWORM — documentati nel contesto del software — utilizzano nomi di servizio che imitano componenti Microsoft come DISMsrv e DeviceSync.

Sul versante dell'infrastruttura critica, la campagna 2016 Ukraine Electric Power Attack (C0025) condotta da Sandworm Team ha sfruttato Industroyer registrato come servizio boot-start per colpire le sottostazioni elettriche ucraine, dimostrando come questa tecnica sia perfettamente adattabile anche a scenari di sabotaggio industriale.

Tra i gruppi a vocazione finanziaria, APT38, Wizard Spider (con TrickBot registrato come ControlServiceA), FIN7, Carbanak e Cobalt Group adottano tutti questa tecnica per consolidare la presenza nelle reti target. Blue Mockingbird e TeamTNT la utilizzano per il cryptomining, rendendo persistenti rispettivamente i payload XMRIG e miner personalizzati. BlackByte e Cinnamon Tempest completano il panorama ransomware, con BlackByte che installa come servizi anche tool legittimi di accesso remoto.

Il trend emergente è il BYOVD: Medusa Group utilizza driver firmati ma vulnerabili per disabilitare soluzioni di sicurezza, un pattern in crescita che richiede ai difensori di monitorare non solo i servizi sospetti, ma anche i driver legittimi caricati in contesti anomali.

Framework MITRE ATT&CK v16 — T1543.003, TA0003, TA0004. Campagne: C0012 (Operation CuckooBees), C0040 (APT41 DUST), C0025 (2016 Ukraine Electric Power Attack), C0006 (Operation Honeybee). Detection: Sigma, Sysmon, Windows Event Log. Integrato con conoscenza professionale per tool e procedure operative.