Manipolazione del Registro di Sistema: Modify Registry (T1112)

La manipolazione del Registro è una delle tecniche più versatili in un ingaggio red team. La superficie d'attacco copre persistenza, evasion e credential access, tutte simulabili con strumenti nativi del sistema operativo, senza bisogno di caricare binari aggiuntivi.

Persistenza via chiavi Run. Il meccanismo più classico prevede la scrittura di un valore nelle chiavi di autoavvio. In un esercizio, il payload può essere un semplice script di callback:

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v TestPersistence /t REG_SZ /d "C:\temp\beacon.exe" /f

Per simulare l'approccio documentato per Earth Lusca, che abusa della chiave Environment per logon script:

reg add "HKCU\Environment" /v UserInitMprLogonScript /t REG_SZ /d "C:\temp\payload.bat" /f

Disabilitazione delle difese. Diversi gruppi come TA505, BlackByte e Gamaredon Group manipolano il Registro per neutralizzare Windows Defender o le protezioni macro di Office. In laboratorio, la disabilitazione di Defender tramite policy:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f

Per abbassare i warning VBA come documentato per Gamaredon Group:

reg add "HKCU\Software\Microsoft\Office\16.0\Word\Security" /v VBAWarnings /t REG_DWORD /d 1 /f

Credential dumping via WDigest. La tecnica usata da Wizard Spider e replicata nella campagna Operation Wocao forza la memorizzazione delle credenziali in chiaro:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 1 /f

Dopo il logoff/logon successivo dell'utente, le credenziali in chiaro diventano estraibili dalla memoria del processo LSASS.

Cobalt Strike (a pagamento) offre il comando shell reg add per eseguire queste operazioni direttamente dalla beacon session, mentre CrackMapExec (open source) consente la modifica remota delle chiavi WDigest su host multipli tramite il protocollo SMB senza nemmeno bisogno di un agent. Per chi preferisce un framework offensivo modulare, SILENTTRINITY (open source) include moduli dedicati alla manipolazione del Registro e all'abilitazione RDP via chiave fDenyTSConnections.

Nella fase di cleanup, il red team deve rimuovere ogni artefatto: un semplice reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v TestPersistence /f chiude il cerchio, ma ricordate di documentare ogni modifica nel report — il blue team userà proprio quelle evidenze per validare la propria detection.

Monitorare le modifiche al Registro è un esercizio di equilibrio: il volume di eventi legittimi è enorme, ma le chiavi critiche sono un insieme finito e ben documentato. La strategia vincente combina log source mirati e logica di correlazione comportamentale.

Sysmon come fondamento. Gli Event ID 12 (creazione/eliminazione chiave), 13 (modifica valore) e 14 (rinomina chiave) di Sysmon (gratuito) rappresentano la fonte primaria. La configurazione deve focalizzarsi sulle chiavi ad alto rischio, filtrando il rumore di base. Le chiavi da monitorare con priorità massima includono:

• HKLM\SYSTEM\CurrentControlSet\Services\ — creazione di servizi malevoli
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run e RunOnce — persistenza classica
• HKLM\SOFTWARE\Policies\Microsoft\Windows Defender — disabilitazione antivirus
• HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest — abilitazione credential caching
• HKCU\Software\Microsoft\Office\*\Security\VBAWarnings — bypass protezioni macro
• HKCU\Environment\UserInitMprLogonScript — logon script persistence

Correlazione comportamentale. L'analytic DET0280 descrive la detection ideale: non basta osservare la singola modifica, bisogna correlare il processo padre, la sua firma digitale e l'eventuale esecuzione di servizi o processi entro una finestra temporale definita. Un processo powershell.exe non firmato che modifica la chiave WDigest e viene seguito entro 60 secondi da un accesso a LSASS è un pattern ad altissima affidabilità.

Il tuning dei falsi positivi richiede la costruzione progressiva di una allowlist dei processi legittimi: regedit.exe, msiexec.exe, i setup di aggiornamento software e gli agent di gestione endpoint sono i responsabili della maggior parte del rumore. Il parametro di tuning ParentProcessAllowList dell'analytic va popolato empiricamente nei primi 30 giorni di deployment.

Windows Security Log. L'abilitazione dell'audit sul Registro tramite auditpol /set /subcategory:"Registry" /success:enable /failure:enable genera l'Event ID 4657 (modifica valore) nel Security Log. Questo log è complementare a Sysmon: fornisce il SID dell'utente e il tipo di accesso, utile per correlare con sessioni di autenticazione anomale.

Per ambienti enterprise, la mitigazione M1024 suggerisce di restringere le ACL sulle chiavi sensibili tramite Group Policy e di proteggere gli hive SAM, SECURITY e SYSTEM con LSA Protection. Un SIEM configurato per correlare EventID 13 di Sysmon con EventID 4624 (logon) e EventID 4688 (process creation) costruisce una catena di detection che copre l'intero arco dell'attacco: dall'accesso iniziale alla modifica del Registro, fino all'esecuzione del payload.

L'analisi forense delle modifiche al Registro offre una delle superfici investigative più ricche in ambiente Windows. Ogni chiave modificata lascia tracce temporali che, incrociate con altri artefatti, permettono di ricostruire l'intera sequenza dell'intrusione.

Acquisizione degli hive. Il punto di partenza è l'estrazione degli hive di registro dal sistema compromesso. I file NTUSER.DAT (per HKCU), SYSTEM, SOFTWARE, SAM e SECURITY risiedono in C:\Windows\System32\config\ e nel profilo utente. Su un sistema live, l'estrazione richiede tool come FTK Imager (gratuito) o KAPE (gratuito) che gestiscono correttamente i file bloccati dal sistema operativo. Registry Explorer di Eric Zimmerman (gratuito) consente poi l'analisi offline con visualizzazione dei timestamp LastWriteTime per ogni chiave.

Timestamp e correlazione. Ogni chiave del Registro conserva un unico timestamp di ultima scrittura (LastWriteTime) a livello di chiave, non di singolo valore. Questo significa che la modifica di qualsiasi valore all'interno di una chiave aggiorna il timestamp dell'intera chiave. In una campagna come il 2015 Ukraine Electric Power Attack, dove Sandworm Team modificò le impostazioni Internet nel Registro prima di lanciare rundll32.exe per comunicare con i server C2, la correlazione tra il LastWriteTime della chiave Internet Settings e il timestamp di creazione del processo rundll32.exe nei log Prefetch o Sysmon consente di stabilire la sequenza causale.

Chiavi chiave per l'investigazione. Le chiavi di persistenza sotto Run e RunOnce sono il primo target investigativo, ma non l'unico. La chiave HKLM\SYSTEM\CurrentControlSet\Services\ rivela servizi creati da malware come Conficker, TEARDROP o NightClub. Il valore BootExecute sotto Session Manager, modificato da LoJax per sostituire autochk con un binario malevolo, rappresenta un caso emblematico di persistenza pre-boot.

Per rilevare chiavi nascoste con caratteri null anteposti al nome — tecnica descritta nella definizione stessa di T1112 — gli strumenti standard come regedit falliscono silenziosamente. In questi casi, Registry Explorer o l'analisi diretta dell'hive con yarp (open source) permette di identificare chiavi invisibili ai tool nativi.

Durante la campagna Operation Wocao, l'abilitazione di WDigest tramite modifica del valore UseLogonCredential lascia una traccia nel timestamp della chiave SecurityProviders\WDigest che, incrociata con i log di autenticazione e l'eventuale dump di LSASS, completa il quadro del credential theft. Analogamente, nella campagna Night Dragon, l'uso di zwShell per manipolare il Registro del sistema target va correlato con le tracce SMB e le sessioni RPC catturate nel log di rete.

La timeline finale deve integrare gli artefatti di Registro con Prefetch, AmCache, ShimCache e i log eventi Windows per ottenere una narrazione cronologica completa dell'intrusione.

La modifica del Registro è una tecnica trasversale, impiegata da gruppi con motivazioni, capacità e targeting profondamente diversi. L'analisi dei pattern d'uso rivela cluster operativi significativi che aiutano a profilare l'avversario.

Wizard Spider e l'ecosistema ransomware rappresentano il cluster più denso. Il gruppo modifica la chiave WDigest per forzare le credenziali in chiaro in memoria — una mossa propedeutica al lateral movement massivo che precede il deployment del ransomware. Lo stesso pattern si osserva in Indrik Spider, che prepara l'esecuzione del ransomware tramite modifiche al Registro e disabilita utilità amministrative per rallentare la risposta. BlackByte replica la stessa filosofia: escalation di privilegi e neutralizzazione delle difese via chiavi di Registro, seguita dal deploy di BlackByte 2.0 Ransomware e BlackByte Ransomware. Nel panorama ransomware, LockBit 3.0, LockBit 2.0, REvil, Black Basta, Avaddon, Prestige e MegaCortex condividono tutti l'uso del Registro per disabilitare recovery, modificare policy UAC o registrare persistenza — un indicatore che questa tecnica è ormai parte del playbook standard degli operatori ransomware.

Il cluster state-sponsored russo. Turla utilizza il Registro per memorizzare payload cifrati, approccio condiviso dal suo malware TinyTurla, ComRAT e Uroburos. Gamaredon Group si distingue per la manipolazione delle security policy di Office e il nascondimento di indirizzi C2 nel Registro sotto chiavi apparentemente innocue come HKCU\Console\WindowsUpdate. Ember Bear e Saint Bear condividono un focus sull'anti-forensics e sulla neutralizzazione di Windows Defender tramite batch script.

Il cluster Asia-Pacifico. APT41 e Threat Group-3390 (entrambi associati ad attori cinesi) utilizzano il Registro con approcci diversi: APT41 tramite il malware GOODLUCK per credential theft, Threat Group-3390 creando chiavi sotto HKCU\Software\Classes\ e HKLM\SYSTEM\CurrentControlSet\services per persistenza di servizio, incluso il recente coinvolgimento nella campagna SharePoint ToolShell Exploitation. Earth Lusca predilige la chiave Environment\UserInitMprLogonScript, un vettore di persistenza elegante e poco monitorato. Aquatic Panda modifica il Registro per abilitare RestrictedAdmin mode, facilitando attacchi pass-the-hash via RDP — un indicatore di sofisticazione nel lateral movement. Lotus Blossom si distingue scrivendo tool come Sagerunex direttamente nel Registro, eliminando la necessità di file su disco. Kimsuky modifica le associazioni di file predefinite e le policy macro per garantire persistenza ed esecuzione.

Il cluster iraniano. Magic Hound e APT42 manipolano il Registro per persistenza e modifica delle impostazioni di sicurezza, mentre OilRig impiega reg.exe direttamente. Il malware CharmPower, associato ad attori iraniani, è notevole per la capacità di rimuovere artefatti di persistenza dal Registro — un indicatore di maturità operativa nella fase di cleanup.

Le 5 campagne documentate confermano la trasversalità: dal sabotaggio infrastrutturale ucraino (2015 Ukraine Electric Power Attack) allo spionaggio energetico (Night Dragon), dall'espionage su organizzazioni umanitarie (Operation Honeybee) al credential harvesting su larga scala (Operation Wocao), fino allo sfruttamento di vulnerabilità SharePoint (SharePoint ToolShell Exploitation). Il pattern predittivo è chiaro: qualsiasi gruppo che raggiunga l'accesso iniziale su un sistema Windows adotterà quasi certamente la manipolazione del Registro come passo operativo successivo.

Framework MITRE ATT&CK: tecnica T1112, tattiche TA0005 e TA0003, mitigazione M1024. Campagne: C0028 (2015 Ukraine Electric Power Attack), C0002 (Night Dragon), C0006 (Operation Honeybee), C0014 (Operation Wocao), C0058 (SharePoint ToolShell Exploitation). Analytic DET0280. Tool di detection: Sysmon, Registry Explorer, KAPE, FTK Imager. Integrato con conoscenza professionale per tool e procedure operative.