🔐 Tecniche di Persistenza & Evasione Malware
Una guida completa alle tecniche di post-compromise utilizzate dai malware per mantenere l'accesso ai sistemi, rimanere invisibili dalle difese, e eludere le contromisure.
Scopri come funzionano, quali sono gli indicatori di compromissione (IOCs), e come mitigarle efficacemente.
🔧 Registry Run Keys
Il malware modifica le chiavi di registro (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) per eseguire automaticamente il payload ad ogni avvio del sistema.
📊 Indicatori di Compromissione• File eseguibili nella cartella Startup anomali
• Modifiche timestamps nel registro recenti
• Percorsi eseguibili sospetti (AppData, Temp, System32)
• Disabilitare autorun in GPO per utenti normali
• Implementare Endpoint Detection & Response (EDR)
• Enumerare regolarmente con Autoruns (SysInternals)
⚙️ Scheduled Tasks (Attività Pianificate)
Sfrutta la Pianificazione Attività di Windows per eseguire comandi o script malicosi a intervalli specifici, in modo discreto e persistente.
📊 Indicatori di Compromissione• Task disabilitati ma abilitati da processi malicosi
• Task con trigger nascosti (on idle, on logon, on boot)
• File di esecuzione con estensioni sospette (.bat, .ps1, .vbs)
� Audit Scheduled Tasks changes (Event ID 4702)
� Disabilitare accesso a schtasks.exe per utenti non-admin
� Configurare AppLocker per script execution
🔧 WMI Event Subscriptions
Crea sottoscrizioni WMI permanenti che eseguono azioni in risposta a eventi di sistema, rimanendo invisibile ai tradizionali audit e antivirus.
📊 Indicatori di Compromissione• Event Filter con payload PowerShell o VBScript
• EventNamespace anomali o inusuali
• Consumer bindings a processi sospetti
� Disabilitare WMI in ambienti dove non � necessario
� Monitorare WMI Repository: C:\Windows\System32\wbem\Repository
� Audit WMI access via Sysmon Event ID 19-21
⚠️ Rootkit & Kernel Persistence
Installa driver kernel malicosi che operano a livello di sistema operativo, garantendo privilegi SYSTEM e invisibilità agli strumenti user-mode.
📊 Indicatori di Compromissione• Module load anomali nel kernel debugger (windbg)
• Discrepanze tra tasklist (user-mode) e procmon (kernel)
• File di driver nascosti (alternate data streams)
� Monitorare driver caricati via Autoruns o Sysmon
� Usare kernel debugger per deep inspection avanzata
� Eseguire Driver Verifier per validazione driver
🌐 Browser Hijacking & Extensions
Installa estensioni malevole nei browser o modifica la home page, catturando traffico, rubando credenziali e iniettando pubblicità o payload.
📊 Indicatori di Compromissione• Modifiche proxy settings o HTTPS inspection rules
• DLL browser hook inaspettate (user32.dll, urlmon.dll)
• Home page modificata, ricerca engine alterata
� Monitorare cartella User Data/Extensions e Preferences
� Implementare policies per amministrazione estensioni
� Eseguire browser in modalit� sandbox/container
⚙️ Service Installation (Servizi Windows)
Crea un servizio Windows malevolo che si esegue con privilegi SYSTEM, fornendo accesso persistente difficile da rimuovere e raramente rilevato.
📊 Indicatori di Compromissione• Display Name vuoto, generico, o criptato
• Percorso servizio punti a directory sospette (AppData, Temp)
• Start type: Auto o Demand (piuttosto che Disabled)
� Audit Service Control Manager (SCM) changes (Event ID 7045-7048)
� Enumerare servizi regolarmente con Autoruns o sc.exe
� Implementare policy per servizi non autorizzati
🔗 COM Hijacking (Component Object Model)
Hijacking di componenti COM per eseguire codice malicioso quando applicazioni legittime caricano i componenti durante il startup del sistema.
📊 Indicatori di Compromissione• InprocServer32 o LocalServer32 che puntano a DLL sospette
• Registro COM modificato recentemente
• CLSID non documentati o sospetti
� Utilizare Process Monitor per tracciare COM access
� Whitelist COM objects nel registro (GPO)
� Implementare application whitelisting stricto
📁 Startup Folder Persistence
Il malware inserisce shortcut (.lnk) o eseguibili nella cartella Startup per eseguirsi automaticamente all'accesso dell'utente.
📊 Indicatori di Compromissione• o C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
• Shortcut (.lnk) con percorso sospetto o offuscato
• File eseguibile diretto nella cartella Startup
� Controllare regolarmente Startup folder per file anomali
� Disabilitare accesso in scrittura alla Startup folder per utenti normali
� Implementare file integrity monitoring (FIM)
📊 Confronto Tecniche di Persistenza
| Tecnica | Livello Stealth | Prevalenza | Difficolt� Rilevamento | Mitigazione Principale |
|---|---|---|---|---|
| Registry Run Keys | Media | Molto Alta | Bassa | Registry monitoring, EDR behavioral |
| Scheduled Tasks | Media | Alta | Bassa | Event Log audit ID 4698-4702 |
| WMI Event Subscriptions | Alta | Media | Molto Alta | WMI auditing, Sysmon monitoring |
| Rootkit Kernel | Molto Alta | Bassa-Media | Molto Alta | Secure Boot, kernel debugger, UEFI |
| Browser Hijacking | Media | Alta | Bassa-Media | Browser profile monitoring, extension policy |
| Windows Service | Media-Alta | Alta | Bassa-Media | Service creation auditing, Services.msc review |
| COM Hijacking | Alta | Bassa-Media | Alta | COM registry auditing, Process Monitor |
| Startup Folder | Bassa | Molto Alta | Bassa | Folder monitoring, file integrity checking |
🔗 Approfondimenti Correlati
Vuoi apprendere come malware specifici utilizzano queste tecniche?
Visita il Database Malware per analizzare 50+ esemplari reali e le loro tecniche di persistenza.
Interessato agli attacchi storici?
Consulta Attacchi Storici per case studies di incidenti reali e come sono stati analizzati forensicamente.