Modifica del Registro: Modify Registry (T1112)

Durante un penetration test, la manipolazione del registro offre molteplici vettori di attacco. Il comando più basilare utilizza l'utility nativa: reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "Backdoor" /t REG_SZ /d "C:\malware\payload.exe". Questa modifica garantisce l'esecuzione automatica del payload ad ogni avvio del sistema.

Per scenari più sofisticati, PowerShell offre controllo granulare: New-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Office\16.0\Common\Security" -Name "VBAWarnings" -Value 1 -PropertyType DWORD -Force

Questo comando disabilita gli avvisi di sicurezza per le macro VBA, tecnica osservata nell'uso da parte di Gamaredon Group.

Un approccio più evasivo prevede l'uso di chiavi nascoste con caratteri null: reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v $([char]0)malware /d "C:\Windows\Temp\update.exe". Queste chiavi risultano invisibili agli strumenti standard di ispezione.

Per test su sistemi remoti, combina WMI con credenziali valide: wmic /node:target-host /user:domain\admin process call create "reg add HKLM\SYSTEM\CurrentControlSet\Services\SecurityService /v ImagePath /t REG_SZ /d C:\Windows\evil.exe"

La persistenza attraverso COM hijacking richiede precisione: prima identifica un CLSID poco utilizzato, poi sostituisci il percorso: reg add "HKLM\Software\Classes\CLSID{GUID}\InprocServer32" /ve /d "C:\malware\comhijack.dll". Questa tecnica evade molti meccanismi di detection focalizzati sulle chiavi Run tradizionali.

Il monitoraggio efficace delle modifiche al registro richiede un approccio stratificato che bilanci copertura e rumore. Sysmon Event ID 13 cattura le modifiche ai valori, ma genera volumi elevati - focalizzati su percorsi critici come HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run e HKLM\SYSTEM\CurrentControlSet\Services.

Una regola di detection comportamentale efficace correla modifiche al registro con esecuzioni di processo successive:

registry_modification WHERE 
  (TargetObject CONTAINS 'CurrentVersion\\Run' OR 
   TargetObject CONTAINS 'Winlogon\\Shell') AND
  EventID = 13
FOLLOWED BY process_creation WHERE 
  CommandLine CONTAINS Image FROM registry_modification
  WITHIN 60 seconds

Per ridurre i falsi positivi, implementa una allowlist dinamica basata sui processi parent legittimi. I tool di sistema come services.exe e msiexec.exe generano modifiche legittime durante installazioni e aggiornamenti.

APT19 e Turla utilizzano spesso modifiche a chiavi specifiche per la persistenza - monitora particolarmente VBAWarnings e AccessVBOM per rilevare tentativi di disabilitazione della sicurezza macro. Un indicatore veloce è la modifica di EnableMulticast nel registro DNS, spesso usata per reindirizzamento del traffico.

Configura alert per modifiche massive al registro (>50 chiavi in 5 minuti) che potrebbero indicare ransomware o wiper in azione. La detection di caratteri null nelle chiavi richiede parsing avanzato dei log - molti SIEM standard non gestiscono correttamente questi caratteri speciali.

Durante l'analisi post-incidente, il registro diventa una miniera d'oro di artefatti temporali. I timestamp delle chiavi LastWrite forniscono indicazioni precise su quando sono avvenute le modifiche, ma attenzione: alcuni malware come quelli usati da FIN8 manipolano questi timestamp per offuscare la timeline.

Gli artefatti più preziosi risiedono nei file di transazione del registro (.LOG1, .LOG2) che contengono modifiche non ancora consolidate. Utilizza strumenti come Registry Explorer per parsing avanzato: spesso contengono tracce di chiavi eliminate che l'attaccante credeva di aver cancellato definitivamente.

Le campagne documentate offrono pattern ricorrenti. Durante Operation Wocao, gli attaccanti abilitavano Wdigest modificando HKLM\SYSTEM\ControlSet001\Control\SecurityProviders\WDigest da 0 a 1, permettendo l'estrazione di password in chiaro dalla memoria.

Per ricostruire movimenti laterali, esamina le modifiche al registro remoto attraverso i log di sistema. Event ID 4657 cattura queste operazioni, ma solo se l'auditing è configurato correttamente. Threat Group-3390 crea abitualmente chiavi sotto HKEY_CURRENT_USER\Software\Classes per bypassare UAC.

La correlazione temporale è cruciale: confronta i timestamp del registro con i log di autenticazione (Event ID 4624) e creazione processi (Event ID 4688). Questa triangolazione rivela la sequenza esatta delle azioni dell'attaccante, essenziale per comprendere l'ambito completo della compromissione.

L'analisi delle tecniche di modifica del registro rivela pattern distintivi tra gruppi APT. Turla (FSB russo) utilizza modifiche sofisticate per nascondere payload, spesso creando strutture di chiavi annidate con nomi che mimano componenti Windows legittime. I loro tool come ComRAT memorizzano codice orchestratore crittografato direttamente nel registro.

Gamaredon Group (FSB Center 18) mostra preferenza per modifiche aggressive alle impostazioni di sicurezza Office, disabilitando sistematicamente VBAWarnings e AccessVBOM prima di distribuire documenti macrizzati. Questo gruppo modifica anche chiavi console per nascondere indirizzi C2 sotto HKEY_CURRENT_USER\Console\WindowsUpdate.

APT32 (Vietnam) integra modifiche registro nella loro catena di infezione multi-stadio. I loro backdoor memorizzano configurazioni complete nel registro, permettendo persistenza resiliente anche dopo rimozione parziale del malware.

L'overlap degli strumenti tra gruppi suggerisce condivisione di TTP o fornitori comuni. Magic Hound iraniano e OilRig utilizzano entrambi reg.exe per modifiche di configurazione di sistema, ma con pattern temporali distinti - Magic Hound preferisce modifiche graduali nel tempo, OilRig esegue burst di modifiche durante la fase iniziale di compromissione.

Le campagne recenti mostrano evoluzione verso tecniche più sottili. SharePoint ToolShell Exploitation (2025) ha visto Storm-2603 disabilitare servizi di sicurezza tramite modifiche registro prima di deployment ransomware, indicando convergenza tra gruppi APT tradizionali e operatori ransomware.

Framework MITRE ATT&CK T1112, documentazione Microsoft Registry, analisi campagne Operation Wocao, Night Dragon, Operation Honeybee, 2015 Ukraine Electric Power Attack, SharePoint ToolShell Exploitation. Riferimenti specifici tool Turla ComRAT, Gamaredon registry tactics, APT32 backdoor configurations.