Disabilitazione del Logging di Windows: Disable Windows Event Logging (T1562.002)

La simulazione di questa tecnica in laboratorio richiede un ambiente Windows isolato con Sysmon (open source, Microsoft Sysinternals) installato e una baseline di log attiva. L'obiettivo è verificare quali detection si attivano — e soprattutto quali gap emergono — quando il logging viene disabilitato.

Il primo scenario replica l'approccio più diretto: fermare il servizio EventLog. Da un prompt PowerShell con privilegi elevati:

Set-Service -Name EventLog -Status Stopped Stop-Service -Name EventLog

In ambienti moderni (Windows 10/11, Server 2019+) il sistema operativo protegge il servizio EventLog come processo critico, quindi il comando potrebbe fallire. Questo è un dato utile: documenta quale versione del sistema resiste e quale no.

Il secondo scenario lavora sul registro, colpendo gli Autologger WMI. L'aspetto insidioso è che la modifica della chiave Security non richiede privilegi di Administrator:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security" /v "Start" /t REG_DWORD /d 0 /f

Per disabilitare anche System e Application serve invece un contesto amministrativo:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-System" /v "Start" /t REG_DWORD /d 0 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Application" /v "Start" /t REG_DWORD /d 0 /f

Queste modifiche richiedono un riavvio per entrare in vigore — dettaglio rilevante per la timeline forense.

Il terzo scenario usa auditpol.exe per neutralizzare le audit policy senza toccare il servizio:

auditpol /set /category:"Account Logon" /success:disable /failure:disable auditpol /clear /y

Per una pulizia più chirurgica, l'attaccante potrebbe disabilitare solo le categorie che lo espongono (logon, process creation, object access) lasciando le altre intatte per ridurre la visibilità dell'intervento.

Infine, vale la pena simulare l'uso di Wevtutil per disabilitare canali specifici:

wevtutil sl Security /e:false

Durante ogni scenario, il red teamer deve confrontare i log Sysmon con i log nativi di Windows per valutare quale fonte sopravvive alla manomissione. Atomic Red Team (open source) include i test T1562.002 che automatizzano diversi di questi scenari e semplificano la validazione ciclica delle detection.

Il paradosso di questa tecnica è evidente: se l'attaccante spegne il logging, il SOC rischia di non avere log da analizzare. La strategia difensiva si basa quindi su un principio fondamentale — rilevare l'atto di spegnimento prima che il silenzio diventi totale — e su un'architettura che renda il logging resiliente.

Le log source critiche sono tre: WinEventLog:System, WinEventLog:Security e WinEventLog:Sysmon. Ognuna cattura un frammento diverso dell'attività di manomissione.

Sul canale System, l'EventCode 7040 segnala il cambio di stato di un servizio: quando il servizio EventLog passa da "auto start" a "disabled" o "demand start", questo evento deve generare un alert ad alta severità. L'EventCode 7045 registra l'installazione di nuovi servizi, utile per catturare tentativi di sostituzione del servizio di logging.

Sul canale Security, l'EventCode 4719 ("System audit policy was changed") è il segnale più diretto di una modifica tramite auditpol. Ogni occorrenza non correlata a una change request approvata merita un'indagine immediata. L'EventCode 4688 (process creation) con command line contenente stringhe come auditpol /clear, auditpol /remove, wevtutil sl o Set-Service -Name EventLog fornisce il contesto operativo dell'attore.

Sysmon aggiunge profondità critica. L'EventID 13 (Registry Value Set) cattura le modifiche alle chiavi Autologger\EventLog-* che non generano eventi nativi Windows particolarmente evidenti. L'EventID 1 (Process Create) con logging della command line completa permette di ricostruire esattamente quali parametri sono stati passati ad auditpol o sc.exe.

Per la gestione dei falsi positivi, il tuning richiede una whitelist degli account amministrativi autorizzati a modificare le audit policy (parametro AuthorizedAdminAccounts nella detection AN0535). Le modifiche legittime avvengono tipicamente durante finestre di manutenzione programmata e coinvolgono account di servizio noti, non sessioni interattive.

Un controllo architetturale essenziale: configurare il Windows Event Forwarding (WEF, nativo Windows) per inoltrare i log critici a un collector centralizzato in near-real-time. Se il logging locale viene disabilitato, gli eventi generati prima della disabilitazione sono già al sicuro. Wazuh (open source) o Splunk (a pagamento) possono monitorare la cessazione improvvisa del flusso di eventi da un endpoint — l'assenza di log diventa essa stessa un indicatore.

Quando il logging è stato disabilitato, l'analista forense affronta una situazione in cui le prove tradizionali sono state deliberatamente rimosse. Il lavoro si sposta su artefatti residuali, gap temporali e tracce di registro che l'attaccante spesso non ripulisce.

Il primo elemento da esaminare è il registro di sistema. Le chiavi sotto HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\EventLog-Security, EventLog-System e EventLog-Application conservano il valore Start: un valore 0 indica disabilitazione esplicita. Strumenti come Registry Explorer (open source, Eric Zimmerman) permettono di analizzare gli hive offline e recuperare i timestamp dell'ultima modifica di ciascuna chiave — un dato essenziale per ancorare la timeline.

La chiave HKLM\SYSTEM\CurrentControlSet\Services\EventLog merita la stessa attenzione: il valore Start impostato su 4 (disabled) conferma la disabilitazione del servizio. Se l'attaccante ha aggiunto la chiave MiniNT sotto HKLM\SYSTEM\CurrentControlSet\Control, questo è un ulteriore indicatore — la sua presenza disabilita Event Viewer.

I file .evtx nella directory C:\Windows\System32\Winevt\Logs\ forniscono informazioni preziose anche quando parzialmente svuotati. L'analisi dei metadati dei file — timestamp NTFS di ultima scrittura con MFTECmd (open source, Eric Zimmerman) — rivela il momento esatto in cui il logging si è fermato. Un gap improvviso nella sequenza degli EventRecordID indica il punto di interruzione.

I log Sysmon, se erano attivi e configurati per scrivere su un canale separato, potrebbero essere sopravvissuti alla disabilitazione dei canali EventLog nativi. L'EventID 13 di Sysmon registra le modifiche al registro e l'EventID 1 cattura l'esecuzione di auditpol.exe, sc.exe o powershell.exe con i parametri incriminati.

Le campagne documentate forniscono pattern specifici. Nella SolarWinds Compromise (C0024), APT29 ha utilizzato AUDITPOL per impedire la raccolta di audit log, un'azione che in una timeline forense si colloca tipicamente dopo l'ottenimento di privilegi elevati e prima del lateral movement. Durante HomeLand Justice (C0038), gli attori iraniani hanno cancellato log applicativi e di sistema Windows — qui la ricerca si estende ai Volume Shadow Copy residui e ai backup del registro nei RegBack. Nell'attacco alla rete elettrica ucraina del 2016 (C0025), Sandworm Team ha disabilitato il logging sugli endpoint compromessi come preparazione alla fase distruttiva con Industroyer.

Per la ricostruzione, Plaso/log2timeline (open source) consente di correlare artefatti di registro, filesystem e log residui in una supertimeline unificata.

La disabilitazione del logging Windows è una tecnica trasversale, impiegata da attori con motivazioni, capacità e aree operative molto diverse. Questo la rende un indicatore debole per l'attribuzione ma un segnale forte di sofisticazione operativa — chi spegne i log sa cosa il difensore sta cercando.

Threat Group-3390 (G0027) è un gruppo di cyber-espionage associato a operazioni contro organizzazioni governative e del settore tecnologico. Il loro uso di appcmd.exe per disabilitare il logging su server vittima indica un focus specifico sui server web IIS, coerente con il loro interesse per infrastrutture esposte a internet come vettore iniziale. La scelta di appcmd.exe anziché delle tecniche più generiche su EventLog suggerisce un approccio chirurgico: disabilitano solo i log che potrebbero registrare la loro attività web shell, lasciando intatto il resto per evitare alert sistemici.

Magic Hound (G0059) ha eseguito script per disabilitare il servizio EventLog. Questo gruppo opera nell'orbita iraniana e il suo approccio — scripting automatizzato piuttosto che comandi manuali — indica una procedura standardizzata nei playbook operativi, probabilmente eseguita in modo sistematico su ogni endpoint compromesso.

Le campagne documentate rivelano un pattern geografico e motivazionale significativo. La SolarWinds Compromise (C0024, 2019-2021) rappresenta il caso più emblematico: APT29, attribuito all'SVR russo, ha usato AUDITPOL come parte di un'operazione supply chain che ha colpito circa 18.000 organizzazioni in Nord America, Europa, Asia e Medio Oriente. La disabilitazione delle audit policy si inseriva in una catena operativa dove la persistenza a lungo termine era prioritaria — meno log significava meno probabilità di rilevamento durante mesi di attività silente.

HomeLand Justice (C0038, 2021-2022), condotta da attori statali iraniani contro reti governative albanesi, ha combinato la cancellazione dei log con ransomware e wiper malware. Qui la disabilitazione del logging serviva a un duplice scopo: evasione durante i 14 mesi di permanenza nella rete e preparazione della fase distruttiva. Il contesto geopolitico — il targeting del MEK e la successiva rottura diplomatica tra Iran e Albania — classifica questa operazione come hack-and-leak con componente distruttiva.

L'attacco alla rete elettrica ucraina del 2016 (C0025), opera di Sandworm Team, colloca la disabilitazione del logging nel contesto di operazioni contro infrastrutture critiche con impiego del malware Industroyer. Il pattern è chiaro: la manomissione dei log precede l'azione distruttiva.

Il trend emergente mostra che questa tecnica viene adottata sia in operazioni di espionage a lungo termine (dove la persistenza richiede invisibilità) sia in operazioni distruttive (dove la cancellazione delle tracce fa parte della fase preparatoria). Il tool overlap con strumenti nativi Windows (auditpol, wevtutil, sc.exe, appcmd.exe) rende la detection basata su firma insufficiente: servono baseline comportamentali e monitoraggio dell'integrità del logging stesso.

Framework MITRE ATT&CK — Tecnica T1562.002 (Impair Defenses: Disable Windows Event Logging). Campagne: C0024 (SolarWinds Compromise), C0038 (HomeLand Justice), C0025 (2016 Ukraine Electric Power Attack). Detection: DET0187 / AN0535. Tool di detection citati: Sysmon, Registry Explorer, MFTECmd, Plaso/log2timeline, Wazuh, Atomic Red Team. Integrato con conoscenza professionale per tool e procedure operative.