Password Filter DLL: Modify Authentication Process — Password Filter DLL (T1556.002)

La catena d'attacco ruota attorno a due operazioni: depositare una DLL in C:\Windows\System32 e registrarla nella chiave di registry che LSA consulta al boot. Serve privilegi di amministratore locale — o, nel caso di un domain controller, Domain Admin.

Sviluppo del filtro malevolo. Il modo più istruttivo per comprendere la tecnica è scrivere un filtro password minimale. La DLL deve esportare tre funzioni: InitializeChangeNotify, PasswordChangeNotify e PasswordFilter. La terza riceve username e password in chiaro. In laboratorio, una DLL che scrive le credenziali su file è sufficiente per dimostrare l'impatto. Il repository PSBits di Grzegorz Tworek su GitHub (open source) contiene un esempio funzionante di password filter DLL pensato per scopi educativi.

Per la compilazione in ambiente lab si può usare Visual Studio Build Tools (gratuito) o MinGW-w64 (open source). La DLL risultante va copiata nella directory di sistema:

*copy PasswordFilterDLL.dll C:\Windows\System32*

Poi si registra il filtro aggiungendo il nome della DLL (senza estensione) alla chiave registry:

reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"

Questo comando mostra i filtri attualmente registrati. Per aggiungere il proprio:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages" /t REG_MULTI_SZ /d "scecli\0PasswordFilterDLL" /f

Il valore scecli è il filtro Microsoft predefinito — va preservato, altrimenti la policy password nativa smette di funzionare. Dopo il riavvio della macchina, LSA carica la nuova DLL e ogni cambio password transita in chiaro attraverso PasswordFilter.

Mimikatz (open source) offre un modulo alternativo tramite il comando misc::memssp che inietta un password filter direttamente in memoria senza toccare il disco — approccio più evasivo ma non persistente al riavvio.

Per validare la riuscita, forzate un cambio password su un account di test:

net user testuser NewP@ssw0rd123

Poi verificate che il file di output della DLL contenga la credenziale catturata. In ambiente domain controller, ripetete il test con un account di dominio per confermare la cattura cross-domain.

Attenzione in laboratorio: un filtro che restituisce FALSE dalla funzione PasswordFilter blocca tutti i cambi password. Testate sempre in un ambiente isolato e assicuratevi che la DLL restituisca TRUE.

La detection di questa tecnica si basa sulla correlazione di tre eventi distinti: modifica della chiave registry, creazione di un file DLL in System32 e caricamento del modulo da parte di LSASS. Singolarmente, ciascuno di questi eventi può essere legittimo; insieme, in una finestra temporale ristretta, rappresentano un indicatore ad alta fedeltà.

Registry monitoring. La chiave critica è HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages. Con Sysmon (gratuito, Microsoft Sysinternals), l'EventCode 13 (RegistryEvent – SetValue) cattura qualsiasi modifica. La regola Sysmon deve filtrare specificamente su quel percorso. Con i log nativi di Windows, abilitando l'audit su quella chiave tramite SACL, si genera un EventCode 4657 nel Security Log. Qualsiasi valore aggiunto che non sia scecli o altri filtri noti della propria organizzazione è sospetto.

Il secondo pilastro è il monitoraggio dei moduli caricati da LSASS. Sysmon EventCode 7 (Image Loaded) registra ogni DLL caricata dal processo lsass.exe. Costruite una baseline delle DLL legittime caricate da LSASS nel vostro ambiente, poi generate un alert per ogni nuova DLL non presente nella whitelist. Attenzione: LSASS carica decine di moduli, quindi la baseline va curata per evitare un rumore eccessivo.

Per i falsi positivi, le fonti principali sono:

• Installazione di prodotti di password policy enforcement legittimi (es. fine-grained password policy tools)
• Aggiornamenti di sistema che modificano i pacchetti LSA
• Software di identity management che registra filtri personalizzati

Il tuning prevede una lista di DLL approvate (AllowedDLLs) e una finestra temporale (TimeWindow) per la correlazione: se la modifica registry, la creazione file e il caricamento modulo avvengono entro un intervallo ristretto — tipicamente 5-15 minuti — il segnale è molto più forte.

Un controllo preventivo efficace è l'applicazione di una GPO che limiti la scrittura nella chiave Notification Packages ai soli account di gestione autorizzati, combinata con Credential Guard (integrato in Windows 10 Enterprise e successivi) che isola il processo LSA in un contenitore virtualizzato, rendendo molto più difficile l'iniezione di filtri arbitrari.

Le log source prioritarie restano WinEventLog:Security e WinEventLog:Sysmon, come indicato nella detection DET0472. SIEM come Splunk (a pagamento) o Elastic Security (freemium) permettono di implementare regole di correlazione multi-evento con finestra temporale configurabile.

L'analisi forense di un password filter malevolo segue una catena di artefatti che inizia dal registry e si estende al filesystem e ai log di sistema. La buona notizia è che questa tecnica lascia tracce persistenti e relativamente difficili da cancellare completamente.

Artefatto primario: il registry. La chiave HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages contiene la lista dei filtri registrati. In un'immagine forense, esaminate questa chiave con RegRipper (open source) o Registry Explorer di Eric Zimmerman (gratuito). Confrontate il valore attuale con il default di Windows, che contiene tipicamente solo scecli. Ogni voce aggiuntiva è un candidato per l'analisi. Il timestamp dell'ultima modifica della chiave fornisce il primo punto della timeline.

La DLL stessa risiede in C:\Windows\System32. Identificata la voce anomala nel registry, cercate la DLL corrispondente. Analizzate i metadati del file: timestamp di creazione (attenzione al timestomping), firma digitale (i filtri legittimi Microsoft sono firmati), e le funzioni esportate. Un filtro password legittimo esporta InitializeChangeNotify, PasswordChangeNotify e PasswordFilter — ma una DLL malevola potrebbe esportare funzioni aggiuntive o avere import sospetti come WinInet o WinHTTP per l'esfiltrazione di rete.

Per l'analisi statica, PEStudio (freemium) permette di esaminare rapidamente le export table, gli import e gli indicatori di anomalia. Sigcheck (gratuito, Sysinternals) verifica la firma digitale:

sigcheck -e -vt C:\Windows\System32\SospettoDLL.dll

Il flag -vt invia l'hash a VirusTotal per un riscontro immediato (richiede accettazione dei termini del servizio).

Timeline dei log. Nei Windows Security Event Logs, cercate EventCode 4657 per la modifica registry e EventCode 4697 per la registrazione di servizi, nel caso in cui l'attaccante abbia usato un servizio per il deployment della DLL. Negli Sysmon logs, la sequenza EventCode 13 → EventCode 11 (FileCreate) → EventCode 7 (ImageLoaded) ricostruisce l'intera catena di installazione.

Il caso di Strider è emblematico: il gruppo ha registrato il proprio modulo di persistenza come password filter su domain controller, usando Remsec per raccogliere credenziali in chiaro dell'intero dominio. In un'indagine su un DC compromesso, cercate anche file di output o canali di esfiltrazione associati — la DLL deve pur scrivere o trasmettere le credenziali raccolte da qualche parte.

Verificate infine i Prefetch di Windows: il file LSASS.EXE-*.pf, analizzato con PECmd di Eric Zimmerman (gratuito), elenca tutte le DLL caricate da LSASS, incluse quelle non più presenti su disco.

L'adozione di password filter DLL come vettore di credential harvesting è documentata per un numero ristretto di gruppi, ma il profilo degli attori coinvolti rivela un pattern chiaro: si tratta di operatori con accesso privilegiato già consolidato che cercano un metodo silenzioso e persistente per raccogliere credenziali su larga scala.

OilRig (G0049) ha utilizzato la registrazione di un password filter DLL come meccanismo per depositare malware aggiuntivo, integrando la tecnica nella propria catena di persistence piuttosto che come puro strumento di credential harvesting. Questo approccio ibrido — usare il meccanismo del filtro non solo per catturare password ma anche come vettore di delivery — amplia la superficie di impatto e suggerisce un livello di sofisticazione nella progettazione dell'operazione.

Strider (G0041) rappresenta il caso d'uso canonico della tecnica. Il gruppo ha registrato il proprio modulo di persistenza direttamente su domain controller come password filter LSA, garantendosi la cattura di credenziali ogni volta che un utente di dominio — inclusi gli amministratori — effettua login o modifica la propria password. L'accoppiamento con Remsec (S0125), il malware modulare del gruppo, che opera come filtro registrato sui DC per raccogliere credenziali in plaintext, evidenzia una strategia progettata per il long-term intelligence gathering in ambienti enterprise di alto valore.

Il pattern geografico e di targeting suggerisce che questa tecnica è preferita da attori state-sponsored con obiettivi di spionaggio a lungo termine. La necessità di privilegi elevati — Domain Admin per i DC — implica che T1556.002 compare nelle fasi avanzate di un'intrusione, dopo che l'accesso privilegiato è già stato ottenuto tramite altre tecniche.

Dal punto di vista dell'overlap degli strumenti, Remsec è l'unico software documentato specificamente progettato per operare come password filter. Tuttavia, l'accessibilità della tecnica è in crescita: l'esistenza di codice sorgente educativo pubblicamente disponibile e la relativa semplicità di implementazione di una DLL con le tre funzioni esportate richieste abbassa la barriera d'ingresso anche per gruppi meno sofisticati.

Per il threat modeling, monitorate con attenzione qualsiasi accesso privilegiato ai domain controller combinato con scritture in System32 e modifiche alla chiave LSA Notification Packages: è la tripletta che precede l'attivazione di un filtro malevolo.

Framework MITRE ATT&CK v16 — T1556.002 (Modify Authentication Process: Password Filter DLL), TA0006, TA0005, TA0003. Gruppi: G0049 (OilRig), G0041 (Strider). Software: S0125 (Remsec). Mitigazione: M1028. Detection: DET0472 / AN1303. Integrato con conoscenza professionale per tool e procedure operative.