Windows Command Shell: Command and Scripting Interpreter: Windows Command Shell (T1059.003)

L'obiettivo in un engagement red team è dimostrare quanto sia semplice abusare di cmd.exe per ottenere esecuzione, persistence e movimento laterale — tutto senza introdurre binari sospetti sul disco. La prima cosa da testare è la catena parent-child: molti EDR generano alert quando cmd.exe viene lanciato da processi inattesi. In laboratorio, simula lo scenario più comune — una macro Office che spawna una shell.

Crea un documento Word con una macro che esegua:

Shell "cmd.exe /c whoami > %TEMP%\out.txt", vbHide

Questo replica il pattern usato da gruppi come APT3, che hanno impiegato esattamente la catena cmd.exe /C whoami come primo comando post-exploitation. Verifica se il tuo EDR intercetta la relazione WINWORD.EXE → cmd.exe.

Per simulare l'esecuzione batch, prepara uno script che replichi le operazioni di cleanup osservate in campagne reali. Play e FIN8 hanno usato batch file per rimuovere tracce e disabilitare servizi di sicurezza:

cmd.exe /c "sc stop WinDefend && sc config WinDefend start=disabled"

Un test particolarmente rilevante riguarda l'abuso di xp_cmdshell, tecnica impiegata da FIN13 per eseguire comandi su server MS-SQL interni. Se l'ambiente include istanze SQL Server, verifica la possibilità di attivare e sfruttare questa stored procedure:

EXEC sp_configure 'xp_cmdshell', 1; RECONFIGURE; EXEC xp_cmdshell 'whoami';

Per il lateral movement, Cobalt Strike (a pagamento) e Brute Ratel C4 (a pagamento) offrono moduli dedicati per l'esecuzione remota via cmd.exe. L'alternativa open source è Impacket (open source), il cui modulo wmiexec.py genera una semi-interactive shell che esegue comandi attraverso WMI incapsulati in cmd.exe:

python3 wmiexec.py dominio/utente:password@target

Per testare la detection degli script batch che operano da percorsi sospetti, copia un file .bat benigno in %TEMP% o C:\Users\Public e lancialo — questi sono esattamente i path monitorati dalle analytic di detection. Infine, Koadic (open source) è un framework C2 post-exploitation che sfrutta Windows Script Host per l'esecuzione di comandi, riproducendo il pattern di diversi malware documentati. Verifica che gli alert scattino anche quando cmd.exe viene rinominato, come fa il malware Kevin che utilizza una copia rinominata dell'eseguibile.

La detection di cmd.exe è un esercizio di equilibrio: è uno dei binari più eseguiti in qualsiasi ambiente Windows, quindi l'approccio basato sulla sola presenza del processo è inutile. La chiave è l'analisi comportamentale descritta nella detection DET0202 (AN0578), che si fonda su tre pilastri: relazioni parent-child anomale, parametri di command-line sospetti e contesto temporale/utente.

Le log source critiche sono Sysmon (EventID 1 per la creazione processi, EventID 11 per la creazione file), il Windows Security Log (EventCode 4688 con command-line auditing abilitato) e i log EDR con script block logging. Senza command-line auditing attivo, l'intera strategia di detection è cieca: verifica che la GPO "Include command line in process creation events" sia abilitata su tutti gli endpoint.

Il primo alert da configurare riguarda i parent process anomali. Quando cmd.exe viene generato da WINWORD.EXE, EXCEL.EXE, msedge.exe, outlook.exe, w3wp.exe (IIS worker) o sqlservr.exe, è quasi sempre indicativo di abuso. Questo singolo pattern copre le macro Office usate da OilRig, Nomadic Octopus e APT28, le web shell sfruttate da Agrius e HAFNIUM, e l'abuso SQL di FIN13.

Il secondo livello è il pattern delle command-line. Flag come /c seguiti da ping, whoami, net user, net group, oppure il chaining con && e il piping verso file temporanei (> %TEMP%\*.tmp 2>&1) sono altamente sospetti. Monitora anche l'uso di caret (^) per l'offuscamento dei comandi e la presenza di stringhe encoded in Base64 passate a PowerShell tramite cmd.exe /c powershell -enc.

Il terzo pilastro è il contesto operativo. L'esecuzione di batch file da %TEMP%, C:\Users\Public o da drive USB esterni durante orari non lavorativi — specialmente da account con privilegi amministrativi — merita investigazione immediata. Correla questi eventi con la creazione di scheduled task o modifiche al registro di sistema avvenute nella stessa finestra temporale.

Per i falsi positivi, aspettati rumore da script di amministrazione legittimi, installer software e strumenti di gestione remota. La mitigazione passa da un solido baselining: documenta gli script batch autorizzati, i loro percorsi e gli account che li eseguono, poi crea whitelist basate su hash o percorsi certificati. Come controllo preventivo, implementa Execution Prevention (M1038) con AppLocker o Windows Defender Application Control (WDAC) per bloccare l'esecuzione di batch file da directory user-writable.

L'analisi forense di un abuso di cmd.exe parte dalla ricostruzione precisa della catena di esecuzione: chi ha lanciato cosa, quando, con quali parametri, e quali artefatti ha lasciato sul disco. La buona notizia è che cmd.exe, a differenza di interpreti più sofisticati, lascia tracce relativamente robuste nell'ecosistema Windows.

L'artefatto primario è il log Sysmon EventID 1 (o il corrispettivo EventCode 4688 del Security Log), che cattura il processo padre, il processo figlio, la command-line completa, l'utente e il timestamp. In un caso come l'Operation Wocao (C0014), dove gli attori spawnavano nuovi processi cmd.exe per eseguire comandi, questa è la fonte che permette di ricostruire l'intera sequenza operativa. Usa Chainsaw (open source) o Hayabusa (open source) per parsare rapidamente i file .evtx alla ricerca di catene parent-child sospette.

I file Prefetch (C:\Windows\Prefetch\CMD.EXE-*.pf) registrano le ultime otto esecuzioni di cmd.exe con timestamp e file referenziati. Analizzali con PECmd (open source, parte degli Eric Zimmerman Tools) per ottenere la lista dei file e delle directory toccati durante ogni esecuzione. Questo è particolarmente utile per ricostruire le operazioni batch: se un file .bat è stato eseguito da %TEMP%, il Prefetch conterrà il riferimento a quel percorso.

Per i batch file, anche quando l'attaccante li ha cancellati, cerca artefatti residui. L'USN Journal ($UsnJrnl:$J) registra creazione e cancellazione dei file; il $MFT può contenere file piccoli residenti direttamente nella Master File Table. MFTECmd (open source) è lo strumento ideale per estrarre queste informazioni. Durante la campagna HomeLand Justice (C0038), gli attori iraniani hanno usato batch file sia per persistence che per esecuzione — il pattern di creazione batch in %TEMP% seguito da cancellazione è un marker chiave.

Lo ShimCache (AppCompatCache) e l'Amcache registrano l'evidenza dell'esecuzione di binari e, in certi casi, anche dei file .bat. Estraili con AppCompatCacheParser e AmcacheParser (entrambi open source, Eric Zimmerman Tools). Per correlare, verifica anche le chiavi di registro HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU che possono contenere comandi eseguiti dalla finestra Run — il pattern usato da FIN7 per aprire cmd.exe tramite la combinazione "Windows + R" simulata via USB malevole.

Nella timeline, presta attenzione alla sequenza temporale: creazione del file batch → esecuzione di cmd.exe con quel batch come argomento → creazione di output in file .tmp → cancellazione del batch. Questa firma temporale è coerente con i pattern di Wizard Spider, APT41 (campagna C0017) e Cinnamon Tempest, che hanno tutti usato batch file per automatizzare fasi post-compromise.

Con 71 gruppi associati, T1059.003 non è un indicatore di attribuzione in sé — è piuttosto un pivot point per analizzare come diverse tipologie di attori integrano cmd.exe nelle loro catene operative. I pattern d'uso rivelano motivazioni, sofisticazione e targeting.

Volt Typhoon (G1017) rappresenta il paradigma living-off-the-land nella sua forma più pura. Questo attore sponsorizzato dalla Cina utilizza cmd.exe per attività hands-on-keyboard di discovery in ambienti di infrastrutture critiche, evitando deliberatamente malware custom per confondersi con l'attività amministrativa legittima. Quando si osserva esecuzione interattiva di cmd.exe con comandi di ricognizione di rete in settori come energia o telecomunicazioni, Volt Typhoon deve essere nel modello di minaccia.

Lazarus Group (G0032) impiega cmd.exe in modo più strumentale — dal malware Destover-like che usa batch file per l'auto-cancellazione, fino all'Operation Dream Job (C0022) dove la shell Windows è stata usata per lanciare DLL malevole, creare cartelle e rinominare componenti. Il pattern di Lazarus combina spesso file batch per cleanup con malware custom, una firma che lo distingue dagli attori puramente living-off-the-land.

APT41 (G0096) mostra una versatilità notevole: nella campagna C0017 ha usato cmd.exe per ricognizione su reti governative statunitensi, mentre in Operation CuckooBees (C0012) ha impiegato batch script per automatizzare la raccolta di informazioni proprietarie da aziende tecnologiche. L'uso di cmd.exe /c combinato con tool come wmiexec.vbs per il lateral movement è un suo tratto distintivo, condiviso con menuPass (G0045) che utilizza una versione modificata dello stesso script.

APT28 (G0007) merita attenzione per l'APT28 Nearest Neighbor Campaign (C0051), dove cmd.exe è stato parte di una catena living-off-the-land che ha sfruttato reti Wi-Fi adiacenti al target. L'uso di cmd.exe da parte di APT28 spazia dai loader Trojan con batch script alle macro Office, coprendo l'intero spettro delle tecniche di invocazione.

Sul fronte ransomware, Wizard Spider (G0102), INC Ransom (G1032), BlackByte (G1043) e Play (G1040) condividono il pattern di utilizzo di cmd.exe e batch script per disabilitare difese, eliminare shadow copy e orchestrare il deployment dell'encryptor. La campagna Water Curupira Pikabot Distribution (C0037), collegata a Black Basta, mostra come la distribuzione di loader via JavaScript culmini invariabilmente in esecuzione tramite cmd.exe. Monitorare l'evoluzione dei batch script ransomware — in particolare quelli che disabilitano Microsoft Defender, come osservato per Saint Bear (G1031) — offre indicatori predittivi per le fasi iniziali di un attacco ransomware.

Framework MITRE ATT&CK v16 — T1059.003, TA0002. Campagne: C0014 (Operation Wocao), C0051 (APT28 Nearest Neighbor Campaign), C0037 (Water Curupira Pikabot Distribution), C0002 (Night Dragon), C0025 (2016 Ukraine Electric Power Attack), C0006 (Operation Honeybee), C0007 (FunnyDream), C0001 (Frankenstein), C0038 (HomeLand Justice), C0024 (SolarWinds Compromise), C0017, C0058 (SharePoint ToolShell Exploitation), C0012 (Operation CuckooBees), C0015, C0022 (Operation Dream Job). Detection: DET0202/AN0578. Mitigazione: M1038. Integrato con conoscenza professionale per tool e procedure operative.