Filtri Password Malevoli: Password Filter DLL (T1556.002)

Sviluppare un password filter malevolo richiede comprensione dell'architettura LSA. Il filtro viene implementato come DLL che esporta tre funzioni obbligatorie: InitializeChangeNotify, PasswordFilter e PasswordChangeNotify.

La funzione PasswordFilter riceve username e password in chiaro ad ogni cambio credenziali. Un attaccante può salvare queste informazioni in un file locale o esiltratrle via rete. Il deployment richiede privilegi amministrativi sul domain controller o sulla macchina target.

Per registrare il filtro, modifica il registry key: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "Notification Packages" /t REG_MULTI_SZ /d "rassfm\0scecli\0malicious_filter" /f

La DLL deve essere posizionata in _C:\Windows\System32_ con lo stesso nome specificato nel registry. Il sistema carica automaticamente il filtro al prossimo boot o cambio password.

Strider ha perfezionato questa tecnica registrando moduli di persistenza direttamente sui domain controller. Ogni login o cambio password di amministratori, utenti locali o di dominio viene intercettato. OilRig utilizza varianti che combinano credential harvesting con drop di ulteriore malware.

Per testing in laboratorio, implementa logging delle credenziali in un file nascosto: echo %date% %time% %username% %password% >> C:\Windows\Temp\debug.log

Verifica il caricamento del modulo con Process Monitor filtrando per operazioni LSASS su Notification Packages. Il software Remsec dimostra implementazioni avanzate che operano esclusivamente in memoria, complicando la detection forense.

La detection DET0472 richiede correlazione tra modifiche al registry LSA, creazione di nuove DLL e loro caricamento da parte di LSASS. Monitora specificamente HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages per qualsiasi modifica.

Sysmon Event ID 13 cattura modifiche al registry value. Correla con Event ID 11 per creazione file in _C:\Windows\System32_ che matchano il nome aggiunto al registry. L'Event ID 7 conferma il caricamento della DLL da parte di lsass.exe entro una finestra temporale di 5 minuti.

Costruisci una baseline dei filtri legittimi nel tuo ambiente. Windows include di default rassfm e scecli. Qualsiasi deviazione deve generare alert ad alta priorità. Implementa whitelisting basato su hash per DLL autorizzate.

I falsi positivi derivano principalmente da software di password management enterprise che registrano filtri legittimi. Documenta questi tool durante il deployment e aggiorna le whitelist. Monitora anche tentativi falliti di registrazione che potrebbero indicare privilege escalation in corso.

Query Splunk per detection real-time: _index=windows EventCode=13 TargetObject="Notification Packages" | join type=inner host [search index=windows EventCode=11 TargetFilename="C:\Windows\System32\*.dll" | eval timewindow=_time] | where timewindow > time-300

Configura alert separati per ambienti domain controller versus workstation. I DC richiedono scrutinio maggiore data la criticità delle credenziali di dominio.

L'analisi forense di password filter malevoli inizia dal registry. Esamina HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages per identificare entry non standard. Il timestamp di modifica indica quando l'attaccante ha ottenuto privilegi sufficienti.

Recupera la DLL malevola da _C:\Windows\System32_ per analisi. Cerca funzioni di logging, connessioni di rete o meccanismi di esiltrazione. File di output potrebbero trovarsi in directory temporanee o alternate data streams.

La timeline reconstruction beneficia dell'analisi dei Windows Event Logs. Security log Event ID 4673 documenta l'uso di privilegi sensibili durante la registrazione. System log Event ID 7045 può mostrare servizi associati per persistenza aggiuntiva.

Strider lascia tracce caratteristiche nei domain controller compromessi. Le loro DLL contengono stringhe offuscate e routine anti-debugging. L'harvesting avviene in memoria con exfiltration periodica verso C2 infrastructure.

Artefatti critici includono:

• Prefetch files che mostrano esecuzione di tool di deployment
• USN Journal entries per tracking delle modifiche filesystem
• Memory dumps di LSASS che potrebbero contenere la DLL caricata
• Network forensics per identificare exfiltration delle credenziali raccolte

Correla timestamp di cambio password nel Security log con attività di rete anomale. Pattern di exfiltration spesso seguono eventi di autenticazione di account privilegiati.

G0041 Strider (Equation Group affiliato) dimostra capacità avanzate nel compromettere domain controller. Il loro modulo di persistenza opera specificamente come LSA password filter, suggerendo focus su credenziali di alto valore per movimenti laterali estesi.

G0049 OilRig (Iran-nexus) combina password filter con malware dropping, indicando obiettivi oltre il semplice credential theft. La loro implementazione meno sofisticata suggerisce adattamento di tool pubblici piuttosto che sviluppo custom.

Il software Remsec rappresenta l'evoluzione della tecnica con capacità stealth avanzate. Opera esclusivamente sui domain controller, confermando che gli attaccanti prioritizzano l'accesso a credenziali di dominio per compromissioni su larga scala.

Pattern geografici mostrano adozione principalmente da attori sponsorizzati da stati con risorse per sviluppo custom. La complessità di implementazione e il rischio di detection limitano l'uso a operazioni mirate contro infrastrutture critiche.

L'overlap limitato tra gruppi suggerisce che la tecnica richiede expertise specifico in Windows internals. Monitora forum underground per leak di password filter builder che potrebbero democratizzare l'accesso. Evolution trends puntano verso varianti fileless e integration con credential dumping tools esistenti.

Indicatori comportamentali includono reconnaissance preliminare su domain controller, privilege escalation verso SYSTEM, e stabilimento di persistenza ridondante prima del deployment del filtro.

Framework MITRE ATT&CK documenta Password Filter DLL sotto technique T1556.002. Strider e OilRig case studies disponibili nei rispettivi profili APT. Detection guidance DET0472 fornisce correlazione multi-sorgente per identificazione affidabile.