Defacement Interno: Internal Defacement (T1491.001)

La simulazione del defacement interno è utile per validare due cose: la capacità del SOC di rilevare modifiche massive ai file di sistema e la resilienza dei processi di ripristino. Non serve sofisticazione — serve realismo.

Cambio wallpaper su Windows via registry e PowerShell. Il metodo più comune nei ransomware documentati (Black Basta, BlackCat, Qilin, INC Ransomware, Diavol) è la modifica del wallpaper tramite chiamata alla API SystemParametersInfo o, più banalmente, tramite registry. In laboratorio puoi simularlo così:

Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name Wallpaper -Value "C:\temp\ransom.bmp"

rundll32.exe user32.dll, UpdatePerIDesktopLayout

Per un approccio più fedele alle TTP reali, usa la chiamata diretta in PowerShell:

Add-Type -TypeDefinition 'using System.Runtime.InteropServices; public class W { [DllImport("user32.dll")] public static extern int SystemParametersInfo(int uAction, int uParam, string lpvParam, int fuWinIni); }'; [W]::SystemParametersInfo(20, 0, "C:\temp\ransom.bmp", 3)

Questo replica esattamente il meccanismo utilizzato da Diavol, che dopo la cifratura cattura il desktop, imposta lo sfondo nero e sovrascrive il wallpaper con un bitmap contenente le istruzioni di riscatto.

Simulazione ransom note nei filesystem. Per replicare il comportamento di BlackByte, ROADSWEEP e RansomHub — che depositano note di riscatto in ogni directory cifrata — uno script iterativo è sufficiente:

Get-ChildItem -Path "C:\TestTarget" -Directory -Recurse | ForEach-Object { Set-Content -Path (Join-Path $_.FullName "README-FOR-DECRYPT.txt") -Value "SIMULATION - Ransom Note" }

Modifica del banner di login su Linux, per simulare ciò che un attaccante farebbe su server esposti o su host ESXi:

echo "SIMULATED DEFACEMENT - Security Test" | sudo tee /etc/motd

echo "SIMULATED DEFACEMENT - Security Test" | sudo tee /etc/issue

Rename delle etichette di volume, come fa ShrinkLocker che rinomina le label disco con l'indirizzo email dell'attaccante:

label C: YOURDATA-LOCKED

Su macOS, la modifica dello sfondo può essere simulata con osascript (open source, incluso nel sistema):

osascript -e 'tell application "Finder" to set desktop picture to POSIX file "/tmp/ransom.png"'

Per orchestrare l'intero scenario in un esercizio red team strutturato, Atomic Red Team (open source) include test specifici per T1491.001 che puoi eseguire con Invoke-AtomicTest (open source) su Windows. Questi test generano telemetria reale per validare le regole di detection del blue team.

La detection dell'Internal Defacement ha un paradosso operativo: quando lo rilevi, l'attacco è nella fase terminale. L'obiettivo non è prevenire il defacement in sé, ma usarlo come trigger per una risposta immediata e, soprattutto, costruire detection nelle fasi precedenti che lo anticipino.

Log source primari. Su Windows, Sysmon (open source) è la sorgente più affidabile. L'EventCode 11 (FileCreate) e l'EventCode 2 (FileCreationTimeChanged) sui percorsi critici — %SystemRoot%\Web\, %APPDATA%\, le directory dei profili utente — catturano sia la sovrascrittura del wallpaper sia il deposito massivo di ransom note. La chiave è il volume: un singolo file .txt creato in una directory è rumore; centinaia di file identici creati in sequenza rapida attraverso l'intero filesystem sono il segnale inequivocabile del comportamento di BlackByte o RansomHub.

Su Linux, auditd con regole mirate sui percorsi /var/www/html, /etc/motd e /etc/issue intercetta le modifiche ai banner e al contenuto web. La syscall openat con flag di scrittura su questi path, eseguita da utenti diversi dagli amministratori web, è un indicatore ad alta fedeltà.

Su macOS, il Unified Log cattura le invocazioni di osascript che modificano le impostazioni desktop. Filtra per processi che interagiscono con /Library/Desktop Pictures/ o che invocano SystemPreferences in modo non interattivo.

Su ESXi, i log hostd e messages registrano modifiche al file /etc/motd. Un accesso SSH seguito da una scrittura su quel path — specialmente se l'origine non è un jump host autorizzato — merita escalation immediata.

Regola comportamentale ad alto valore. Piuttosto che cercare singole modifiche al wallpaper, correla due segnali: creazione massiva di file con nome identico (es. README-FOR-DECRYPT.txt) su percorsi multipli nell'arco di pochi minuti, combinata con una modifica al registry key HKCU\Control Panel\Desktop\Wallpaper. Questa correlazione distingue il ransomware dalla personalizzazione utente e riduce drasticamente i falsi positivi.

Tuning pratico. Escludi le finestre di manutenzione programmata e gli account dei sistemi di deploy (SCCM, Intune, Ansible) che legittimamente modificano wallpaper aziendali o banner MOTD. Imposta una soglia temporale: modifiche a file di contenuto UI durante orari non lavorativi, da account non privilegiati o da account di servizio compromessi, devono generare alert a priorità alta.

La mitigazione ufficiale — Data Backup (M1053) — conferma che il defacement è un sintomo, non la malattia. Backup immutabili con storage WORM, cifratura AES-256, copie offsite e test regolari di restore sono la rete di sicurezza quando la detection fallisce.

Quando arrivi sulla scena, il defacement è il punto finale della timeline. Il tuo lavoro è ricostruire all'indietro: dal wallpaper modificato fino al vettore di accesso iniziale. Gli artefatti sono abbondanti proprio perché l'attaccante non si preoccupa più di nascondersi.

Artefatti Windows. Parti dal registry. La chiave HKCU\Control Panel\Desktop\Wallpaper contiene il percorso dell'immagine impostata — se punta a un file .bmp in una directory insolita (C:\temp\, C:\ProgramData\), hai il primo indicatore. Il timestamp di ultima modifica della chiave, estraibile con Registry Explorer (open source), ti dà il momento preciso del defacement.

I file di ransom note distribuiti nel filesystem sono una miniera. Su un sistema colpito da un ransomware come BlackByte o ROADSWEEP, troverai centinaia o migliaia di file identici. Usa il filesystem journal NTFS ($UsnJrnl) per ricostruire l'ordine di creazione — lo strumento MFTECmd (open source, parte della suite Eric Zimmerman Tools) parsa il journal e ti permette di identificare il primo file creato, che spesso coincide con la directory da cui il ransomware ha iniziato l'esecuzione.

MFTECmd.exe -f C:$Extend$UsnJrnl:$J --csv C:\output

Filtra l'output CSV per il nome del file di ransom note e ordina per timestamp: la sequenza rivela la direzione di attraversamento del filesystem e il momento di inizio.

I Prefetch file (directory C:\Windows\Prefetch\) possono confermare l'esecuzione del binario responsabile. Cerca file .pf con nomi sospetti e analizzali con PECmd (open source, Eric Zimmerman Tools) per ottenere timestamp di prima e ultima esecuzione e la lista dei file referenziati.

Artefatti Linux. Su sistemi dove il defacement ha colpito banner o contenuto web, il file /etc/motd e /etc/issue hanno timestamp di modifica che ancorano la timeline. I log di auditd — se configurato — registrano la syscall, l'utente, il processo padre e il percorso completo. Su server web, il contenuto di /var/www/html sovrasccritto porta i metadati del filesystem ext4: usa debugfs per ispezionare i tempi di creazione (crtime) oltre ai classici mtime/ctime.

Artefatti ESXi. Il file /etc/motd modificato, combinato con i log SSH in /var/log/auth.log e i log hostd.log, permette di correlare l'accesso remoto con la modifica. Verifica l'IP sorgente della sessione SSH e confrontalo con gli accessi autorizzati.

Correlazione critica. Il defacement avviene dopo altre azioni distruttive. Lazarus Group ha modificato il wallpaper solo dopo aver eseguito un Disk Structure Wipe, rendendo il sistema non avviabile. In casi simili, l'analisi richiede imaging offline del disco e ricostruzione da MBR/GPT danneggiati. ShrinkLocker rinomina le label dei volumi — questo artefatto persiste anche dopo un tentativo di ripristino parziale ed è verificabile con vol su Windows o tramite analisi delle strutture NTFS.

Il defacement interno è un indicatore che separa nettamente due categorie di threat actor: chi vuole denaro e chi vuole mandare un messaggio. I tre gruppi documentati coprono entrambi gli spettri.

Gamaredon Group (G0047) utilizza il defacement come prova di accesso, lasciando immagini e messaggi provocatori sui desktop delle vittime. Il contesto è quello dello spionaggio con componente psicologica: il messaggio non chiede un riscatto, ma dimostra capacità e presenza. Per Gamaredon, il defacement è un'arma di pressione geopolitica — non il fine, ma un mezzo per amplificare l'impatto percepito dell'intrusione. L'analista TI dovrebbe correlare questo comportamento con le altre tecniche del gruppo nella fase di raccolta ed esfiltrazione, dove risiede l'obiettivo reale.

Lazarus Group (G0032) porta il defacement a un livello distruttivo. La sostituzione del wallpaper avviene dopo un Disk Structure Wipe — il sistema è già irrecuperabile quando l'utente vede il messaggio minaccioso. Questo pattern, tipico delle operazioni distruttive attribuite al gruppo, segnala che il defacement è una componente di campagne wiper piuttosto che ransomware tradizionale. Quando un'organizzazione rileva un defacement accompagnato da impossibilità di boot, la priorità dell'indagine deve spostarsi immediatamente sulla ricerca di wiper nel resto dell'infrastruttura.

BlackByte (G1043) rappresenta il modello ransomware classico: note di riscatto depositate in ogni directory cifrata. Il defacement qui è funzionale alla monetizzazione — deve essere visibile perché la vittima sappia a chi pagare.

Il panorama software conferma la dominanza ransomware. Black Basta, BlackCat, Qilin, INC Ransomware, RansomHub e Diavol condividono lo stesso pattern: modifica del wallpaper con nota di riscatto. ROADSWEEP e Meteor si distinguono per il contesto più distruttivo o hacktivista. ShrinkLocker introduce una variante interessante — la rinomina delle label di volume — che potrebbe indicare un actor meno sofisticato o un tentativo di evasione delle detection basate su wallpaper change.

Il trend da monitorare è la convergenza tra ransomware e wiper mascherato: attori che usano il defacement per simulare un'operazione ransomware quando l'obiettivo reale è la distruzione dei dati. La presenza simultanea di defacement e assenza di un meccanismo reale di decifratura è il segnale discriminante che l'analista TI deve imparare a riconoscere.

Framework MITRE ATT&CK: tecnica T1491.001 (Internal Defacement), tattica TA0040 (Impact). Gruppi: G0047, G1043, G0032. Software: S1178, S1070, S0659, S1150, S0688, S1212, S1068, S1242, S1139. Mitigazione: M1053. Detection: DET0082 (AN0229–AN0232). Integrato con conoscenza professionale per tool e procedure operative.