Finestre Nascoste: Hidden Window (T1564.003)

PowerShell offre il metodo più diretto per nascondere finestre su Windows. Il comando base è semplicemente powershell.exe -WindowStyle Hidden, ma le varianti sono molteplici. Alcuni gruppi APT preferiscono -W Hidden per brevità, mentre altri utilizzano hidcon per mascherare console batch.

La vera eleganza sta nella manipolazione del registro di sistema. Modificando la chiave HKEY_CURRENT_USER\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_PowerShell.exe, specificamente il valore WindowPosition, si possono far aprire le finestre completamente fuori schermo. Un valore massimo garantisce che la finestra sia invisibile anche con Alt+Tab.

Per test più avanzati, l'API CreateDesktop() permette di creare interi desktop nascosti. Questo approccio, utilizzato da malware come TrickBot per implementare hidden VNC (hVNC), crea un ambiente completamente isolato:

CreateDesktopW(L"HiddenDesk", NULL, NULL, 0, GENERIC_ALL, NULL)

Su macOS, la tecnica richiede la modifica dei file plist. Aggiungendo il tag <key>apple.awt.UIElement</key><true/> si previene la comparsa dell'icona nel Dock. Per nascondere completamente un'applicazione:

defaults write /Applications/MyApp.app/Contents/Info LSUIElement -bool true

Linux offre meno opzioni native, ma combinando nohup con redirect si ottengono risultati simili:

nohup ./malware > /dev/null 2>&1 &

La detection richiede un approccio multilivello. Sysmon resta il migliore alleato su Windows, catturando i parametri di esecuzione nei ProcessCreate events (EventID 1). Una regola efficace deve cercare stringhe come "WindowStyle", "Hidden", "-W H" nei CommandLine fields.

Il problema dei falsi positivi è reale: molti script amministrativi legittimi usano finestre nascoste. La soluzione sta nel contesto. Un PowerShell nascosto lanciato da winword.exe è sospetto, mentre quello eseguito da un task scheduler autorizzato potrebbe essere legittimo.

Per l'API CreateDesktop(), monitorate le chiamate a user32.dll tramite API monitoring o ETW. Desktop multipli sono rari in ambienti enterprise standard. Qualsiasi creazione di desktop con nomi generici come "HiddenDesk" o "Desktop2" merita investigazione immediata.

Su macOS, il monitoring dei file plist richiede attenzione ai cambiamenti del flag LSUIElement. Un endpoint detection system dovrebbe generare alert quando applicazioni non-utility modificano questo valore. Il unified log di macOS cattura questi eventi, ma richiede parsing specifico per essere efficace.

La correlazione temporale è fondamentale. Finestre nascoste seguite da connessioni di rete anomale o creazione di file in directory sensibili aumentano drasticamente l'affidabilità dell'alert. Un PowerShell nascosto che poi contatta un IP esterno è quasi certamente malevolo.

Gli artefatti delle finestre nascoste sopravvivono sorprendentemente a lungo. Nel registro di Windows, le modifiche a WindowPosition lasciano timestamp precisi in NTUSER.DAT. Questi valori, quando impostati a coordinate estreme come 32000, indicano chiaramente manipolazione intenzionale.

Prefetch files e Amcache registrano fedelmente l'esecuzione di processi, indipendentemente dalla loro visibilità. Un powershell.exe nel Prefetch con hash corrispondente a versioni con parametri nascosti conferma l'uso della tecnica. La timeline si arricchisce correlando questi dati con i Windows Event Logs.

Per hVNC e desktop nascosti, cercate tracce di explorer.exe multipli nei memory dumps. Ogni desktop ha il suo processo explorer, e trovarne più di uno attivo contemporaneamente è un forte indicatore. Process hollowing tools come Volatility rivelano questi processi anomali.

Su macOS, i backup di Time Machine preservano versioni storiche dei plist files. Confrontare Info.plist prima e dopo l'incidente rivela quando è stato aggiunto il flag UIElement. Il sistema di versioning macOS mantiene anche metadati su chi ha effettuato la modifica.

La ricostruzione richiede pazienza. Gamaredon Group tipicamente usa finestre nascoste nelle prime fasi post-compromissione, mentre APT32 le implementa durante movimenti laterali. Identificare questi pattern temporali aiuta a capire la progressione dell'attacco.

APT28 mostra predilezione per PowerShell nascosto, spesso combinato con tecniche di living-off-the-land. I loro tool mantengono consistenza sintattica: preferiscono -WindowStyle Hidden completo piuttosto che abbreviazioni. Questa firma comportamentale persiste attraverso campagne diverse.

FIN7 innova costantemente. Dai semplici PowerShell nascosti sono passati a incorporare .txt files per offuscare ulteriormente i comandi. La loro evoluzione suggerisce che future varianti potrebbero abusare di altri interpreters come Python o Ruby con tecniche simili.

Kimsuky dimostra sofisticazione particolare nell'uso combinato di finestre nascoste e moduli di information gathering. Nascondono specificamente finestre di software antivirus, indicando reconnaissance approfondita degli ambienti target. Questa attenzione ai dettagli è caratteristica del loro approccio metodico.

La geografia influenza le tattiche. Gruppi dell'Europa dell'Est come Gamaredon preferiscono hidcon e batch files, mentre attori asiatici come APT19 e Higaisa mostrano maggiore varietà nelle implementazioni. Questi pattern regionali aiutano nell'attribuzione.

L'overlap dei tool è significativo. QuasarRAT, AsyncRAT e WarzoneRAT condividono codice per hidden windows, suggerendo o sviluppatori comuni o marketplace underground attivi. Monitorare l'evoluzione di questi tool commerciali anticipa future campagne APT.

Questa analisi si basa sul framework MITRE ATT&CK, documentazione ufficiale dei gruppi APT citati, e report di incident response pubblicamente disponibili. Le tecniche descritte sono state osservate in campagne reali e validate in ambiente di laboratorio controllato.