Gestione Remota Windows: Windows Remote Management (T1021.006)

L'esecuzione remota tramite WinRM richiede credenziali valide e la configurazione corretta del servizio target. Il comando base per stabilire una sessione interattiva è Enter-PSSession -ComputerName target.domain.local -Credential domain\user.

Per esecuzioni one-shot senza sessione persistente, PowerShell offre Invoke-Command -ComputerName target -ScriptBlock {Get-Process} -Credential $cred. Questo approccio minimizza le tracce lasciate sul sistema target riducendo la durata della connessione attiva.

Gli attaccanti avanzati utilizzano Evil-WinRM, tool specializzato che estende le capacità native con funzionalità offensive:

evil-winrm -i 192.168.1.100 -u administrator -p 'password123'

Una volta stabilita la sessione, il movimento laterale può propagarsi attraverso catene di comandi. Cobalt Strike automatizza questo processo con il modulo jump winrm, permettendo deployment rapido di beacon su multiple macchine.

La preparazione dell'ambiente richiede verifiche preliminari. Il comando Test-WSMan -ComputerName target conferma la raggiungibilità del servizio, mentre Get-Item WSMan:\localhost\Client\TrustedHosts mostra gli host autorizzati per connessioni non-domain.

Per bypass di restrizioni, gli attaccanti modificano le configurazioni locali:

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "" -Force*

Brute Ratel C4 implementa pivoting avanzato attraverso WinRM, creando tunnel SOCKS per accesso completo alla rete interna. La sintassi varia ma il principio resta: sfruttare la fiducia intrinseca del protocollo per movimenti stealth.

La detection comportamentale richiede correlazione tra multiple sorgenti log. EventCode 4624 (logon type 3 o 10) indica accesso remoto, ma diventa significativo solo quando correlato con creazione processi anomali entro 60 secondi.

Il Windows Event Log cattura l'attività WinRM nel canale Microsoft-Windows-WinRM/Operational. Eventi critici includono WSMan session creation (Event ID 6) e authentication failures (Event ID 142). La configurazione Sysmon deve includere process creation (Event ID 1) con parent process wsmprovhost.exe.

Alert efficaci richiedono baseline del comportamento normale. Account di servizio che improvvisamente utilizzano WinRM verso workstation rappresentano anomalia immediata. Pattern sospetti includono:

PowerShell encoded commands lanciati via WinRM meritano score elevato nell'analisi. La detection DET0477 suggerisce monitoraggio di command line contenenti -enc, -e, o Base64 strings superiori a 100 caratteri.

Network monitoring rivela connessioni sulla porta 5985 (HTTP) o 5986 (HTTPS). Volume anomalo di connessioni WinRM da singolo host indica possibile lateral movement in corso. Correlare con Active Directory logs per identificare privilege escalation contemporanee.

SILENTTRINITY modifica TrustedHosts per facilitare movimento, rendendo questo parametro punto di monitoraggio critico. Query WMI per Win32_ComputerSystem o registry access a HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN segnalano reconnaissance pre-attacco.

Falsi positivi derivano principalmente da script di amministrazione legittimi. Whitelisting basato su hash PowerShell e account autorizzati riduce rumore mantenendo efficacia detection.

L'analisi forense di attività WinRM inizia dal Windows Event Log. Il canale Security registra autenticazioni (EventID 4624), mentre WinRM/Operational contiene dettagli sessione inclusi comandi eseguiti.

Registry artifacts persistono in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WSMAN\Service. Modifiche a TrustedHosts lasciano timestamp nel registry last write time, cruciale per timeline reconstruction.

Wizard Spider lascia tracce caratteristiche: wsmprovhost.exe spawn PowerShell con argomenti encoded, seguito da download cradles verso C2 infrastructure. Memory forensics rivela .NET assemblies caricati in-process, indicatori di post-exploitation frameworks.

Prefetch files documentano esecuzione di winrm.exe e wsmprovhost.exe con timestamp precisi. Link analysis tra prefetch creation time e network connections conferma lateral movement windows.

Durante SolarWinds Compromise, APT29 utilizzò WinRM per deployment TEARDROP malware. Pattern forense includeva:

• Authentication burst verso domain controllers
• Mass deployment via GPO modification
• Cleanup con Clear-EventLog commands

PowerShell ScriptBlock logging (Event ID 4104) cattura comandi completi anche se offuscati. Chimera dimostrava preferenza per one-liners che combinavano download e execution, visibili in scriptblock decompilati.

Network forensics complementa host artifacts. PCAP analysis mostra HTTP/HTTPS traffic su porte WinRM con characteristic SOAP envelopes. SSL decryption rivela command structure per attribution specifica.

Threat Group-3390 (origine Cina) integra WinRM in campagne multi-stage dopo initial compromise via spearphishing. Il gruppo mostra preferenza per ambienti Windows-centrici con Active Directory maturo, targeting primario settore difesa e aerospace.

APT29 ha elevato WinRM da tool opportunistico a componente core della loro metodologia. SolarWinds dimostra sofisticazione nell'uso: non semplice lateral movement ma orchestrazione di deployment su scala enterprise. Pattern geografico mostra focus su Five Eyes nations e NATO members.

FIN13 diverge nel targeting, focalizzandosi su monetizzazione diretta. WMI movement attraverso SQL servers indica specializzazione in ambienti database-heavy, tipici di financial services e retail. Timeline analysis mostra preferenza per weekend operations durante maintenance windows.

Tool overlap significativo emerge tra gruppi: Storm-0501 adotta Evil-WinRM precedentemente associato a ransomware operators. Questa convergenza suggerisce commoditization di TTP precedentemente elite, abbassando barrier to entry per threat actors emergenti.

Operation MidnightEclipse rappresenta evolution trend: combinazione di zero-day exploitation (CVE-2024-3400) con immediate WinRM lateral movement. Timeframe marzo-aprile 2024 indica capacità di rapid weaponization, suggerendo infrastructure pre-posizionata.

Geographic clustering mostra WinRM usage concentrato in:

• APT est-europei/russi: integration con supply chain attacks
• Gruppi cinesi: focus su proprietary technology theft
• Financially motivated: ransomware deployment infrastructure

Prevedi incremento WinRM abuse in cloud-hybrid environments dove trust relationships span on-premise e Azure AD. Monitoring focus su service principal abuse e cross-tenant movement diventerà critico.

Analisi basata su framework MITRE ATT&CK T1021.006. Campagne documentate includono SolarWinds Compromise (C0024) e Operation MidnightEclipse (C0048). Detection guidance da DET0477 behavioral analytics. Threat intelligence su gruppi APT27, APT29, FIN13, G0102, G0114, G1016, G1053.