🚫 Tecniche di Persistenza & Evasione Malware
Una guida completa alle tecniche di post-compromise utilizzate dai malware per mantenere l'accesso ai sistemi, rimanere invisibili dalle difese, e eludere le contromisure.
Scopri come funzionano, quali sono gli indicatori di compromissione (IOCs), e come mitigarle efficacemente.
💾 Registry Run Keys
Il malware modifica le chiavi di registro (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) per eseguire automaticamente il payload ad ogni avvio del sistema.
️ Indicatori di Compromissione� File eseguibili nella cartella Startup anomali
� Modifiche timestamps nel registro recenti
� Percorsi eseguibili sospetti (AppData, Temp, System32)
� Disabilitare autorun in GPO per utenti normali
� Implementare Endpoint Detection & Response (EDR)
� Enumerare regolarmente con Autoruns (SysInternals)
?? Scheduled Tasks (Attivit� Pianificate)
Sfrutta la Pianificazione Attivit� di Windows per eseguire comandi o script malicosi a intervalli specifici, in modo discreto e persistente.
?? Indicatori di Compromissione� Task disabilitati ma abilitati da processi malicosi
� Task con trigger nascosti (on idle, on logon, on boot)
� File di esecuzione con estensioni sospette (.bat, .ps1, .vbs)
? Audit Scheduled Tasks changes (Event ID 4702)
? Disabilitare accesso a schtasks.exe per utenti non-admin
? Configurare AppLocker per script execution
?? WMI Event Subscriptions
Crea sottoscrizioni WMI permanenti che eseguono azioni in risposta a eventi di sistema, rimanendo invisibile ai tradizionali audit e antivirus.
?? Indicatori di Compromissione� Event Filter con payload PowerShell o VBScript
� EventNamespace anomali o inusuali
� Consumer bindings a processi sospetti
? Disabilitare WMI in ambienti dove non ? necessario
? Monitorare WMI Repository: C:\Windows\System32\wbem\Repository
? Audit WMI access via Sysmon Event ID 19-21
?? Rootkit & Kernel Persistence
Installa driver kernel malicosi che operano a livello di sistema operativo, garantendo privilegi SYSTEM e invisibilit� agli strumenti user-mode.
?? Indicatori di Compromissione� Module load anomali nel kernel debugger (windbg)
� Discrepanze tra tasklist (user-mode) e procmon (kernel)
� File di driver nascosti (alternate data streams)
? Monitorare driver caricati via Autoruns o Sysmon
? Usare kernel debugger per deep inspection avanzata
? Eseguire Driver Verifier per validazione driver
?? Browser Hijacking & Extensions
Installa estensioni malevole nei browser o modifica la home page, catturando traffico, rubando credenziali e iniettando pubblicit� o payload.
?? Indicatori di Compromissione� Modifiche proxy settings o HTTPS inspection rules
� DLL browser hook inaspettate (user32.dll, urlmon.dll)
� Home page modificata, ricerca engine alterata
? Monitorare cartella User Data/Extensions e Preferences
? Implementare policies per amministrazione estensioni
? Eseguire browser in modalit? sandbox/container
?? Service Installation (Servizi Windows)
Crea un servizio Windows malevolo che si esegue con privilegi SYSTEM, fornendo accesso persistente difficile da rimuovere e raramente rilevato.
?? Indicatori di Compromissione� Display Name vuoto, generico, o criptato
� Percorso servizio punti a directory sospette (AppData, Temp)
� Start type: Auto o Demand (piuttosto che Disabled)
? Audit Service Control Manager (SCM) changes (Event ID 7045-7048)
? Enumerare servizi regolarmente con Autoruns o sc.exe
? Implementare policy per servizi non autorizzati
?? COM Hijacking (Component Object Model)
Hijacking di componenti COM per eseguire codice malicioso quando applicazioni legittime caricano i componenti durante il startup del sistema.
?? Indicatori di Compromissione� InprocServer32 o LocalServer32 che puntano a DLL sospette
� Registro COM modificato recentemente
� CLSID non documentati o sospetti
? Utilizare Process Monitor per tracciare COM access
? Whitelist COM objects nel registro (GPO)
? Implementare application whitelisting stricto
?? Startup Folder Persistence
Il malware inserisce shortcut (.lnk) o eseguibili nella cartella Startup per eseguirsi automaticamente all'accesso dell'utente.
?? Indicatori di Compromissione� o C:\Users\[UserName]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
� Shortcut (.lnk) con percorso sospetto o offuscato
� File eseguibile diretto nella cartella Startup
? Controllare regolarmente Startup folder per file anomali
? Disabilitare accesso in scrittura alla Startup folder per utenti normali
? Implementare file integrity monitoring (FIM)
📊 Confronto Tecniche di Persistenza
| Tecnica | Livello Stealth | Prevalenza | Difficolt? Rilevamento | Mitigazione Principale |
|---|---|---|---|---|
| Registry Run Keys | Media | Molto Alta | Bassa | Registry monitoring, EDR behavioral |
| Scheduled Tasks | Media | Alta | Bassa | Event Log audit ID 4698-4702 |
| WMI Event Subscriptions | Alta | Media | Molto Alta | WMI auditing, Sysmon monitoring |
| Rootkit Kernel | Molto Alta | Bassa-Media | Molto Alta | Secure Boot, kernel debugger, UEFI |
| Browser Hijacking | Media | Alta | Bassa-Media | Browser profile monitoring, extension policy |
| Windows Service | Media-Alta | Alta | Bassa-Media | Service creation auditing, Services.msc review |
| COM Hijacking | Alta | Bassa-Media | Alta | COM registry auditing, Process Monitor |
| Startup Folder | Bassa | Molto Alta | Bassa | Folder monitoring, file integrity checking |
🔗 Approfondimenti Correlati
Vuoi apprendere come malware specifici utilizzano queste tecniche?
Visita il Database Malware per analizzare 50+ esemplari reali e le loro tecniche di persistenza.
Interessato agli attacchi storici?
Consulta Attacchi Storici per case studies di incidenti reali e come sono stati analizzati forensicamente.