Disabilitazione Strumenti di Sicurezza: Impair Defenses - Disable or Modify Tools (T1562.001)

La disabilitazione degli strumenti di sicurezza richiede una combinazione di tecniche che variano in base al sistema operativo e al tipo di protezione presente. Su Windows, il primo passo spesso coinvolge Windows Defender.

sc stop WinDefend seguito da sc config WinDefend start= disabled rappresenta l'approccio classico per fermare il servizio. Tuttavia, le versioni moderne richiedono privilegi elevati e spesso proteggono questi comandi. Un approccio alternativo utilizza PowerShell: Set-MpPreference -DisableRealtimeMonitoring $true.

Per aggiungere esclusioni che permettano l'esecuzione del malware senza rilevamento, Add-MpPreference -ExclusionPath "C:\" esclude l'intero disco C dalle scansioni. Questa tecnica è stata osservata in molteplici campagne ransomware.

La manipolazione del registro offre persistenza maggiore. La chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Microsoft-Windows-Sysmon-Operational può essere modificata per disabilitare completamente Sysmon, uno strumento di logging critico per molti SOC.

Su Linux, l'approccio varia significativamente. systemctl stop falcon-sensor potrebbe disabilitare CrowdStrike, mentre setenforce 0 mette SELinux in modalità permissiva. Per rendere questi cambiamenti permanenti, modificare /etc/selinux/config impostando SELINUX=disabled.

Gli attaccanti più sofisticati utilizzano tecniche di unhooking delle API. Caricare una copia pulita di ntdll.dll dalla disco e confrontarla con quella in memoria permette di identificare e rimuovere gli hook inseriti dai prodotti di sicurezza.

Per testare queste tecniche in laboratorio, configurare una VM con multiple soluzioni di sicurezza. Utilizzare Process Monitor per osservare quali processi e servizi vengono terminati. Documentare l'ordine delle operazioni è cruciale: alcuni tool devono essere disabilitati in sequenza specifica per evitare il riavvio automatico.

Il rilevamento della disabilitazione degli strumenti di sicurezza richiede un approccio multilivello che combini telemetria locale e centralizzata. La sfida principale sta nel fatto che quando un tool di sicurezza viene disabilitato, smette di inviare telemetria - un classico problema del "chi sorveglia i sorveglianti".

Configurare alert su eventi di sistema Windows è fondamentale. L'EventID 7036 nel System log indica cambiamenti di stato dei servizi. Un alert dovrebbe scattare quando servizi critici come Windows Defender (WinDefend) passano allo stato "stopped". Combinare questo con EventID 7040 che registra modifiche al tipo di avvio del servizio.

La correlazione temporale è cruciale. Se vedi EventID 4688 (creazione processo) per taskkill.exe o net.exe seguito da EventID 7036 per un servizio di sicurezza, hai probabilmente individuato un tentativo di disabilitazione. Impostare una finestra di correlazione di 5 secondi riduce i falsi positivi.

Per Sysmon, monitorare le modifiche al registro con EventID 13. Le modifiche alle chiavi sotto HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger dovrebbero generare alert ad alta priorità. Particolarmente critico è il valore "Start" che se impostato a 0 disabilita il logging.

Il "heartbeat monitoring" rappresenta una difesa essenziale. Ogni endpoint dovrebbe inviare un segnale di vita ogni 60 secondi al SIEM. L'assenza di tre heartbeat consecutivi dovrebbe triggerare un alert immediato. Questo rileva sia la disabilitazione del tool che problemi di rete.

Su Linux, auditd fornisce visibilità critica. La regola -w /usr/lib/systemd/system/ -p wa monitora modifiche ai file di servizio. Combinare con il monitoraggio di comandi come systemctl e service attraverso execve syscall.

L'analisi comportamentale aggiunge un livello di protezione. Un processo che termina multipli processi di sicurezza in rapida successione è altamente sospetto. Implementare una regola che conta process termination events per lo stesso processo padre in una finestra di 30 secondi.

La ricostruzione della timeline per la disabilitazione degli strumenti di sicurezza richiede l'analisi di molteplici artefatti che spesso gli attaccanti tentano di cancellare. L'approccio forense deve quindi essere metodico e considerare fonti di evidenza alternative.

I Windows Event Logs forniscono il punto di partenza principale. Il Security log (se ancora disponibile) conterrà EventID 4688 per ogni processo lanciato, inclusi i comandi utilizzati per disabilitare la sicurezza. System log preserva gli eventi di stop/start dei servizi anche quando l'attaccante cancella altri log.

Il registro di Windows mantiene timestamp cruciali. Le chiavi sotto HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mostrano quando sono state rimosse voci di autostart per software di sicurezza. La chiave LastWrite time in HKLM\SYSTEM\CurrentControlSet\Services rivela quando i servizi sono stati modificati.

Prefetch files in C:\Windows\Prefetch documentano l'esecuzione di tool utilizzati per la disabilitazione. File come TASKKILL.EXE-[hash].pf o NET.EXE-[hash].pf contengono timestamp di esecuzione e riferimenti ai file acceduti, inclusi i processi target.

L'analisi della memoria (se disponibile) può rivelare processi di sicurezza terminati ma ancora presenti in memoria. Utilizzare Volatility con il plugin psscan per identificare strutture EPROCESS di processi terminati. Il plugin handles può mostrare quali processi avevano handle aperti verso i processi di sicurezza prima della terminazione.

Su sistemi Linux, i file in /var/log sono preziosi. Il file auth.log registra uso di sudo per fermare servizi. I file syslog e messages contengono entry quando systemd ferma servizi. Anche se l'attaccante cancella questi file, il journal di systemd (journalctl) potrebbe ancora contenere copie dei record.

Gli artefatti di filesystem includono timestamp di modifica su file di configurazione. Il file /etc/selinux/config mostra quando SELinux è stato disabilitato. I file .service in /etc/systemd/system rivelano quando i servizi sono stati mascherati o disabilitati.

L'analisi delle tecniche di disabilitazione rivela pattern distintivi che permettono l'attribuzione e la predizione del comportamento degli attori. APT29 durante la SolarWinds Compromise ha utilizzato il service control manager remoto per disabilitare servizi di monitoraggio, un approccio sofisticato che minimizza le tracce locali e indica capacità di movimento laterale avanzate.

Lazarus Group mostra un pattern di targeting specifico verso McAfee attraverso il malware TangoDelta, suggerendo intelligence preliminare sull'infrastruttura di sicurezza delle vittime. Questa specificità indica operazioni mirate piuttosto che campagne opportunistiche. Il gruppo utilizza anche SHARPKNOT per disabilitare i servizi Windows System Event Notification, impedendo alert di sicurezza a livello di sistema.

I gruppi ransomware come Wizard Spider e BlackByte dimostrano un approccio "scorched earth", disabilitando ogni soluzione di sicurezza possibile prima del deployment del ransomware. Wizard Spider è noto per utilizzare script batch automatizzati che iterano attraverso liste predefinite di processi di sicurezza.

L'analisi geografica rivela che gruppi cinesi come UNC3886 si concentrano su tecniche che compromettono l'integrità del firmware, disabilitando la verifica delle firme digitali attraverso la corruzione dei file di boot. Questo approccio richiede accesso fisico o compromissione profonda del sistema, indicando operazioni di lungo termine.

Pattern temporali emergono dall'analisi delle campagne. La disabilitazione degli strumenti avviene tipicamente nelle prime 24-48 ore dopo l'accesso iniziale per i gruppi di cyber-espionaggio, mentre i gruppi ransomware la eseguono immediatamente prima della cifratura. Ember Bear utilizza utility legittime come NirSoft AdvancedRun, indicando una preferenza per "living off the land" che complica l'attribuzione.

Le sovrapposizioni di tool tra gruppi suggeriscono possibili condivisioni o fornitori comuni. L'uso di GMER driver (GMER64.sys) da parte di Agrius e Play per terminare processi di sicurezza indica accesso a risorse condivise nel cybercrime underground.

Analisi basata su MITRE ATT&CK framework, dati di 30 gruppi APT inclusi APT29, Lazarus Group, Wizard Spider, e relative campagne come SolarWinds Compromise, HomeLand Justice. Riferimenti tecnici da implementazioni documentate di BlackByte, LockBit, Medusa e oltre 70 famiglie di malware. Detection guidance derivata da analitiche multipiattaforma Windows, Linux, macOS, cloud e network devices.