Security Weekly: evadere la detection

Red teaming e un punto sulla settimana cibernetica passata: nuovi ransomware ma anche nuovi takedown

📬 Ben ritrovato caro cyber User con il nostro aggiornamento settimanale sul mondo cyber. Potrebbe sembrare un ritorno da una lunga stagione di ferie, ma non è stato così: è vero la newsletter si è presa una pausa, ma posso testimoniare di non essermi mai fermato (con il mio network) soprattutto con lo sviluppo di Ransomfeed. Nell’ultimo recap c’è un changelog per i mesi estivi, che sembra un lenzuolo!

Oggi partiamo subito con un approfondimento in stile red teaming per l’evasione EDR.

Silent Harvest, estrazione Windows secrets

Ottenere un primo accesso su un host Windows è spesso solo il primo passo. L’obiettivo successivo, e cruciale, è la movimentazione laterale per compromettere altri sistemi. La via più rapida per raggiungere questo scopo è l’harvesting di credenziali e segreti per il loro riutilizzo. Tuttavia, le tecniche più note e diffuse per la raccolta di questi dati sensibili sono ormai ampiamente individuate e bloccate dalle soluzioni EDR (Endpoint Detection and Response).

In questo approfondimento, esamineremo una nuova metodologia divulgata per la prima volta dal ricercatore sudOru, semplice ma estremamente efficace, che bypassa con successo la maggior parte degli EDR testati. L’approccio si basa su una profonda comprensione degli internals di Windows e sull’uso intelligente di API poco frequenti, sfuggendo così ai pattern di detection più comuni.

LSA e i database dei segreti

Per comprendere la tecnica, è essenziale partire dal sottosistema di Windows incaricato della gestione delle credenziali: la Local Security Authority (LSA), in esecuzione all’interno del processo lsass.exe. La LSA mantiene due database in memoria: il database SAM e il database Security (Policy), che corrispondono rispettivamente agli hive del registro SAM e SECURITY.

Mentre il database SAM contiene utenti, gruppi e le loro credenziali (in formato hash), il database Security gestisce i cosiddetti LSA secrets, come le password memorizzate dai servizi e le credenziali di dominio memorizzate nella cache. Il punto cruciale è che questi dati, sia nel registro che in memoria, sono cifrati. La loro estrazione richiede non solo l’accesso alle chiavi di registro protette, ma anche la successiva decrittazione, che necessita di una chiave ricostruita a partire da valori presenti nell’hive SYSTEM.

Tecniche a confronto

Le metodologie per raccogliere questi secrets si dividono sostanzialmente in due categorie: remote e locali.

Le tecniche remote, come l’uso del servizio di registro remoto o l’accesso amministrativo per copiare fisicamente i file degli hive (SAM, SECURITY, SYSTEM) dal volume shadow copy, sono efficaci ma rumorose. Lasciano tracce evidenti sul sistema di log e sono ampiamente monitorate.

Le tecniche locali tradizionali, come l’uso delle API standard del registro (RegOpenKeyEx, RegQueryValueEx) per accedere direttamente agli hive HKLM\SAM o HKLM\SECURITY, falliscono miseramente senza privilegi SYSTEM a causa delle DACL (Discretionary Access Control Lists) restrittive. Anche quando si ottiene l’accesso (ad esempio, abilitando il privilegio SeBackupPrivilege e usando RegOpenKeyEx con il flag REG_OPTION_BACKUP_RESTORE), l’azione viene quasi sempre rilevata dagli EDR.

Il meccanismo di callback degli EDR

La ragione di questa detection efficace risiede in come operano gli EDR moderni. I loro driver in kernel-mode utilizzano un potente meccanismo: le kernel callback routines. Tramite la funzione CmRegisterCallbackEx, un driver EDR può registrare una funzione di callback che il kernel richiama ogni volta che avviene un’operazione sul registro.

A questa callback, il kernel passa un valore REG_NOTIFY_CLASS (ad esempio, RegNtPreQueryValueKey) e una struttura dati contenente il percorso della chiave o del valore interessato e la maschera di accesso del chiamante. Gli EDR registrano queste callback solo per un sottoinsieme di chiavi ad alto rischio (come HKLM\SAM e HKLM\SECURITY) e per operazioni specifiche, filtrando così il rumore e massimizzando l’efficienza senza un impatto prestazionale eccessivo. Quando un processo sospetto chiama RegQueryValueExW su HKLM\SAM\Domains\Account\Users\000001F4, l’EDR lo vede e alza un alert.

La tecnica “Silent Harvest”: evasione tramite API oscure

La metodologia discussa nel documento aggira sia il problema dell’accesso che quello della detection, utilizzando due componenti chiave in tandem.

1. Accesso con Privilegi: NtOpenKeyEx & SeBackupPrivilege
   Il primo step è ottenere un handle alla chiave di registro protetta. Invece di usare le API Win32 standard, si ricorre all’API nativa non documentata NtOpenKeyEx.

NTSTATUS NtOpenKeyEx(
  PHANDLE            KeyHandle,
  ACCESS_MASK        DesiredAccess,
  POBJECT_ATTRIBUTES ObjectAttributes,
  ULONG              OpenOptions // Qui risiede la magia
);

1. Il parametro critico è OpenOptions. Specificando il flag REG_OPTION_BACKUP_RESTORE (0x00000004) e avendo abilitato preliminarmente il privilegio SeBackupPrivilege (alla portata di un amministratore), il kernel bypassa completamente i controlli DACL sulle chiavi. Questo permette di aprire un handle a qualsiasi chiave sotto SAM o SECURITY senza necessità di privilegi SYSTEM. È fondamentale utilizzare il formato di percorso nativo (OMNS) per la chiave (ad esempio, \Registry\Machine\SAM).

2. Evasion della detection: RegQueryMultipleValuesW
   Avere un handle è solo metà dell’opera. Usare le funzioni comuni come RegQueryValueExW o NtQueryValueKey per leggere il valore farebbe scattare immediatamente le callback monitorate dagli EDR. La geniale intuizione è stata di utilizzare un’API alternativa, legittima ma molto meno frequente: RegQueryMultipleValuesW.

LSTATUS RegQueryMultipleValuesW(
    HKEY      hKey,        // Handle ottenuto da NtOpenKeyEx
    PVALENTW  val_list,    // Array di strutture VALENTW
    DWORD     num_vals,    // Numero di valori da leggere
    LPWSTR    lpValueBuf,  // Buffer di output
    LPDWORD   ldwTotsize   // Dimensione del buffer
);

1. Questa funzione è progettata per recuperare efficientemente più valori da una singola chiave in una sola chiamata. Tuttavia, può essere utilizzata perfettamente anche per leggerne uno solo. Si prepara una struttura VALENTW contenente il nome del valore desiderato (ad esempio, F o V per gli hash degli utenti nel SAM) e si chiama la funzione con num_vals = 1.

   Il successo di questa tecnica sta nella sua rarità. Gli sviluppatori di EDR, per ottimizzare le performance, hanno concentrato i loro hook sulle API di query a valore singolo, onnipresenti in qualsiasi software. RegQueryMultipleValuesW, essendo molto meno comune, è spesso assente dalle loro liste di monitoraggio. I test condotti hanno dimostrato che l’uso combinato di queste due API passa completamente sotto il radar.

Implicazioni per il Red Teaming

Questa tecnica è un potente strumento per i red team. Permette di sviluppare un utility leggero e totalmente native che può essere eseguito in remoto (ad esempio, via WMI) con privilegi di amministratore, estraendo gli hash NTLM o gli LSA secrets cifrati dalla memoria senza mai scrivere su disco, senza avviare il servizio di registro remoto e senza innescare gli allarmi degli EDR. La decrittazione degli hash rimane un passo successivo, ma la fase di raccolta è ora notevolmente più stealth.

Per i blue team e i ricercatori di sicurezza, questo è un dettaglio importante. La surface di attack è vasta e gli avversari continuano a trovare angoli ciechi esplorando le profondità del sistema operativo. Gli EDR dovrebbero iniziare a considerare il monitoraggio di API più oscure come RegQueryMultipleValuesW quando vengono utilizzate su chiavi ad altissimo rischio.

Indicatori di Compromissione (IOC) e mitigazione

• IOC Comportamentale: processi con privilegi di amministratore che abilitano SeBackupPrivilege (SeBackupPrivilege::Enabled) e successivamente aprono handle con diritti di accesso ACCESS_SYSTEM_SECURITY o READ_CONTROL su chiavi come \REGISTRY\MACHINE\SAM o \REGISTRY\MACHINE\SECURITY.

• IOC API: chiamate all’API RegQueryMultipleValuesW seguite a operazioni di apertura handle sulle suddette chiavi con l’opzione REG_OPTION_BACKUP_RESTORE.

• Mitigazione: Oltre a rivedere le regole di detection per includere l’API RegQueryMultipleValuesW, il principio del minimo privilegio rimane fondamentale. Limitare drasticamente gli account amministrativi locali e implementare credential hardening (ad esempio, con LSA Protection) possono aumentare la resistenza contro queste tecniche.

“Silent Harvest” non è solo l’ennesimo trick di evasion, ma una lezione sull’importanza di una difesa di profondità che vada oltre il monitoring delle API più ovvie. È un promemoria che gli avversari studiano la piattaforma tanto quanto i difensori, e che a volte la via per bypassare i controlli più sofisticati si nasconde in piena vista, dentro le stesse API di Windows.

Alla prossima analisi.

La settimana cibernetica

Vediamo anche con un breve recap, i punti più salienti in ambito cyber di questa settimana appena conclusa.

Mentre il caldo agosto ci rende tutti più lenti, le forze dell'ordine e i big della tech hanno dato prova di reattività.

• Addio alle fake-ID: FBI e polizia olandese hanno dato il KO a VerifTools, un bazaar online per documenti falsi. Server sequestrati ad Amsterdam e dominio chiuso. Stima dei proventi illeciti: 6.4 milioni di dollari. Un duro colpo per il furto d'identità e le frodi bancarie.

• Il congelamento dei cuori (e dei wallet): una task force crypto composta da Chainalysis, Binance, OKX e Tether ha congelato la bellezza di $46.9 milioni. I fondi, rubati con le truffe del "pig butchering" (dove i criminali adescano le vittime su app di dating per poi rifilar loro fake investment schemes), sono stati bloccati grazie all'analisi on-chain e alla collaborazione con le forze dell'ordine dell'APAC.

• Acquistare software senza farsi male: CISA ha lanciato uno strumento interattivo, il ‘Software Acquisition Guide: Supplier Response Web Tool’. In pratica, è un kit per procurement officer e vendor per integrare la cybersecurity negli acquisti software, cercando di porre un argine alle vulnerabilità della supply chain.

La creatività dei threat actor non conosce sosta, con campagne che spaziano dagli studenti ai diplomatici.

• SikkahBot: borse di studio che svuotano il conto: in Bangladesh, un malware Android di nome SikkahBot si spaccia per app del Ministero dell'Istruzione, promettendo borse di studio inesistenti. Una volta installato, richiede permessi invasivi e inizia a intercettare SMS bancari e a eseguire transazioni non autorizzate. Basso tasso di detection su VirusTotal.

• UNC6395 e la breccia su Salesforce: il gruppo threat actor UNC6395 ha preso di mira istanze Salesforce sfruttando token OAuth compromessi legati all'app Salesloft Drift. Obiettivo? Rubare credenziali sensibili, soprattutto chiavi di accesso AWS e token per Snowflake. Salesloft e Salesforce hanno revocato tutti i token e rimosso l'app dall'AppExchange.

• Blind Eagle avvolge la Colombia: i ricercatori hanno identificato cinque distinti cluster di attività del gruppo APT Blind Eagle, attivi contro enti governativi colombiani da maggio 2024. Usano spear-phishing che imitano agenzie governative e RAT come LimeRAT e AsyncRAT. Un mix di cyber-spionaggio e motivazioni finanziarie.

• Estensioni VSCode che tradiscono: scoperta una falla nel Visual Studio Code Marketplace: i nomi delle estensioni rimosse possono essere riutilizzati. Gli attacker hanno sfruttato questo loophole per distribuire un'estensione ransomware chiamata "shiba" che cripta i file e chiede un riscatto in Shiba Inu token.

• UNC6384: Diplomazia sotto attacco: un attore legato alla Cina, UNC6384, sta prendendo di mira i diplomatici in Sud-Est Asia con sofisticate tecniche di social engineering. Usano certificati digitali validi e attacchi Adversary-in-the-Middle (AitM) per distribuire il famigerato malware PlugX.

Dai password manager ai tool PDF, nessuno è al sicuro.

• PromptLock: ESET ha scoperto PromptLock, il primo ransomware guidato dall'Intelligenza Artificiale. Utilizza il modello GPT-OSS:20b di OpenAI per generare e eseguire script Lua dannosi per scansionare, rubare e crittografare file su Windows, Linux e macOS. Per ora è un work-in-progress, ma il potenziale è inquietante.

• TamperedChef: la società di sicurezza Truesec ha smantellato una vasta campagna cybercriminale che promuoveva un editor PDF trojanizzato, "AppSuite PDF Editor", tramite annunci Google. Il file installa un info-stealer chiamato TamperedChef che ruba credenziali e cookie web.

• FreePBX: il Team di Sicurezza di Sangoma FreePBX ha lanciato un allarme per una vulnerabilità zero-day (CVE-2025-57819) con CVSS 10.0. Colpisce i server FreePBX con il pannello di controllo esposto a internet, permettendo a utenti non autenticati di ottenere l'accesso da amministratore, manipolare il database ed eseguire codice in remoto. Già sfruttata attivamente in the wild.

• JSCoreRunner: nuovo malware per macOS scoperto da Mosyle. Si nasconde su un sito fasullo di conversione PDF (fileripple[.]com) e modifica le impostazioni di Chrome per dirottare le ricerche verso siti fraudolenti, facilitando phishing e furto di dati.

---

Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.

Il network

Con questo piccolo schema riepilogo in breve i punti di riferimento che alimento con i miei contenuti, su diversi fronti, quasi quotidianamente.

• Ransomfeed.it - piattaforma di monitoraggio ransomware, realtime;

• inSicurezzaDigitale.com - blog di sicurezza informatica con approfondimenti tematici;

• SecureBulletin.com - news internazionali su cyber security, analisi e frodi;

• Spcnet.it - notizie geek;

• ilGlobale.it - note politiche e di economia, di rilevanza internazionale;

• Ziobudda.org - notizie Linux, open source e software libero, segnalabili e commentabili (socialnews).

• NewsDF - il raccoglitore di tutto questo, con un suo feed RSS generale, per non perdere niente di quello che pubblico.