Winlogon Helper DLL: Boot/Logon Autostart Execution: Winlogon Helper DLL (T1547.004)

Per replicare questa tecnica in laboratorio, inizia verificando le configurazioni correnti delle chiavi Winlogon. Su Windows, apri una shell amministrativa e controlla lo stato attuale:

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit reg query "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

Il valore predefinito per Shell è explorer.exe mentre Userinit punta a C:\Windows\system32\userinit.exe. Per implementare la persistenza, puoi modificare questi valori aggiungendo il tuo payload.

Una tecnica comune prevede l'append del malware al valore esistente. Ad esempio, per la chiave Shell: reg add "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /t REG_SZ /d "explorer.exe, C:\temp\malware.exe" /f

La virgola separa i processi da eseguire in sequenza. Questo approccio mantiene la funzionalità normale del sistema mentre esegue silenziosamente il payload.

Per Userinit, la modifica richiede maggiore attenzione poiché interromperla può impedire il login: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\Windows\system32\userinit.exe,C:\temp\backdoor.exe" /f

Le DLL Notify offrono un metodo più sofisticato. Queste devono esportare specifiche funzioni callback che Winlogon invoca durante eventi di sistema. Crea una DLL che esporta WLEventLogon, WLEventLogoff e altre routine, poi registrala: reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\MyNotify" /v DLLName /t REG_SZ /d "C:\Windows\System32\mynotify.dll" /f

Testa sempre queste modifiche in macchine virtuali isolate. Un errore nelle configurazioni Winlogon può rendere il sistema non avviabile.

La detection di questa tecnica richiede monitoraggio granulare del registro e correlazione con i processi. Configura Sysmon per catturare modifiche alle chiavi critiche con questa configurazione:

Le chiavi da monitorare includono tutti i path sotto Winlogon sia in HKLM che HKCU. Sysmon genera l'EventCode 13 per le modifiche al registro, mentre l'EventCode 7 traccia il caricamento delle DLL.

Crea regole di correlazione che identificano pattern sospetti. Una modifica alla chiave Shell seguita dal caricamento di una DLL non firmata da winlogon.exe entro 60 secondi rappresenta un forte indicatore. Monitora anche l'EventCode 1 per processi figli anomali di userinit.exe o winlogon.exe.

I falsi positivi comuni derivano da software di gestione remota e utility di sistema. Mantieni una whitelist dei percorsi legittimi come TeamViewer o strumenti di amministrazione aziendale. La chiave sta nel verificare che i binari aggiunti siano firmati digitalmente e provengano da directory di sistema standard.

Implementa detection behavior-based osservando sequenze anomale. Se winlogon.exe carica DLL da %TEMP% o %APPDATA%, genera un alert immediato. Questi percorsi non dovrebbero mai contenere helper DLL legittime.

La visibilità end-to-end richiede log aggregation centralizzata. Correla eventi Windows Security (EventCode 4624 per logon) con modifiche al registro e caricamento moduli per ricostruire la catena completa dell'attacco.

L'analisi forense di questa tecnica inizia dall'esame delle chiavi di registro. Usa RegRipper o Registry Explorer per estrarre i valori storici da SYSTEM e SOFTWARE hive. I timestamp LastWriteTime delle chiavi rivelano quando sono avvenute le modifiche.

Verifica la presenza di valori anomali confrontando con baseline di sistemi puliti. Le chiavi Shell e Userinit modificate conterranno percorsi aggiuntivi dopo la virgola. Documenta ogni deviazione dai valori predefiniti di Windows.

Gli artefatti di esecuzione si trovano in Prefetch e Amcache. I file .pf in C:\Windows\Prefetch mostrano quando i binari helper sono stati eseguiti. Correlali con i login utente nel Security Event Log per stabilire la sequenza temporale.

Turla ha dimostrato l'uso sofisticato di questa tecnica aggiungendo valori Shell sotto HKCU per mantenere persistenza user-level. L'analisi dei loro attacchi mostra che preferiscono HKCU per evitare requisiti di privilegi elevati durante l'installazione iniziale.

La ricostruzione della timeline deve includere l'analisi di ShellBags e UserAssist per identificare l'attività post-compromissione. Questi artefatti mostrano quali programmi l'attaccante ha eseguito dopo aver stabilito la persistenza.

Memory forensics con Volatility permette di identificare DLL iniettate in winlogon.exe. Il plugin dlllist rivela moduli caricati anomali, mentre malfind identifica sezioni di codice sospette. Documenta hash MD5 e percorsi di tutti i moduli non standard.

Turla rimane il gruppo più sofisticato nell'uso di questa tecnica. Opera principalmente contro obiettivi governativi e diplomatici, preferendo persistenza a lungo termine. Il gruppo modifica tipicamente HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell per mantenere accesso anche dopo patch di sistema.

Tropic Trooper mostra pattern operativi distinti, creando nuove chiavi Shell piuttosto che modificare quelle esistenti. Questo gruppo APT del Sud-Est asiatico colpisce principalmente settori governativi e tecnologici nella regione Asia-Pacifico.

Wizard Spider, noto per operazioni ransomware su larga scala, utilizza la chiave Userinit per garantire che il loro malware sopravviva ai riavvii. La loro implementazione spesso include meccanismi di fallback multipli per aumentare la resilienza.

L'analisi dei malware mostra convergenza nelle tecniche. Gazer di Turla e Cannon implementano modifiche Shell quasi identiche, suggerendo condivisione di codice o sviluppatori comuni. Revenge RAT e KeyBoy preferiscono automazione tramite comandi reg add diretti, indicando un approccio più opportunistico.

I trend emergenti mostrano evoluzione verso DLL Notify custom che sono più difficili da rilevare. DarkTortilla rappresenta questa nuova generazione con payload modulari che si adattano all'ambiente target. L'overlap nei TTP suggerisce che i gruppi studiano reciprocamente le tecniche di successo.

Framework MITRE ATT&CK documenta questa tecnica come T1547.004. Le campagne di Turla e Wizard Spider forniscono casi studio dettagliati. Microsoft Security Response Center pubblica linee guida per hardening Winlogon. Sysmon configuration repository su GitHub contiene regole detection testate in produzione.