Analisi

Nessun agente? Nuovo approccio all'EDR su sistemi Windows

By

 

Quando si parla di EDR (Endpoint Detection and Response), il pensiero corre subito a soluzioni complesse, agenti da installare, overhead prestazionali e sfide di gestione. Ma cosa succederebbe se ti dicessi che esiste un modo per monitorare in remoto un sistema Windows, osservando la creazione di processi, le modifiche ai file, le connessioni di rete… senza installare nulla? Zero agenti. Solo le funzionalità già presenti nel sistema operativo.

È proprio questo l’ambito della ricerca condotta da Jonathan Johnson, che ha voluto esplorare come sfruttare le API native di Windows per costruire un sistema EDR “agentless”, in grado di funzionare da remoto. E il risultato è sorprendente.

Il cuore della scoperta: Performance Logs and Alerts (PLA)

Tutto ruota attorno a una componente spesso ignorata di Windows: Performance Logs and Alerts (PLA), una libreria (pla.dll) che offre una serie di interfacce COM/DCOM per interagire con i meccanismi di tracciamento e performance del sistema.

Il concetto chiave è quello dei data collector sets, insiemi di “raccoglitori di dati” che possono essere configurati per monitorare eventi di sistema — come tracciamenti ETW (Event Tracing for Windows), contatori di performance, registri di configurazione e molto altro.

E la cosa più affascinante? È tutto accessibile anche da remoto, senza necessità di agenti installati.

Tracciare il sistema… in silenzio

Grazie a queste interfacce è possibile:

  • Enumerare sessioni di tracing attive (locali e remote).

  • Creare nuovi data collector, configurando quali eventi raccogliere (es. modifiche al registro, caricamenti di assembly .NET, attività WMI sospette…).

  • Scrivere i log su un file locale o remoto, a scelta.

  • Gestire i permessi per far girare i collector con account specifici.

  • Il tutto, spesso invisibile agli strumenti di difesa più comuni, se si sfruttano namespace non standard (es. “Service\” invece di “Session\”).

Questo apre scenari incredibili sia per chi difende i sistemi, sia — purtroppo — per chi li attacca.

JonMon-Lite: la prova che funziona

Per dimostrare la fattibilità dell’approccio, Johnson ha sviluppato uno strumento chiamato JonMon-Lite. Si tratta di un proof-of-concept che, partendo da un file XML di configurazione e da un JSON che elenca le macchine da monitorare, è in grado di:

  1. Creare in remoto i data collector set.

  2. Avviare le sessioni ETW su eventi specifici.

  3. Reindirizzare i log verso un file locale o condiviso.

  4. Visualizzare i risultati nell’Event Viewer.

Con questo metodo, è possibile ad esempio intercettare:

  • Il caricamento sospetto di assembly .NET (es. da parte di Rubeus).

  • La creazione di subscription WMI persistenti.

  • Attività DCSync (es. tramite Mimikatz) monitorando le chiamate RPC.

Usi difensivi e… offensivi

Per i difensori:

  • Può essere usato come EDR alternativo su server critici, dove non è possibile installare agenti.

  • Fornisce un ulteriore livello di visibilità senza modificare lo stato del sistema.

  • Può alimentare una pipeline SIEM con eventi ETW in tempo reale, usando forwarding o strumenti analitici come Microsoft Sentinel.

Per gli attaccanti:

  • Offre nuovi modi per fare ricognizione su sistemi target senza usare WMI o strumenti “rumorosi”.

  • Consente di creare trace session furtive, difficili da individuare nei namespace predefiniti.

  • Permette di interrompere, modificare o cancellare le trace session attive create da soluzioni di difesa.

Una nuova frontiera nel monitoraggio e nella detection

Quello che Johnson ci mostra è che, sotto la superficie di Windows, esistono strumenti potenti e spesso inutilizzati. Usando le giuste API — e conoscendo le architetture COM e DCOM — si può ottenere un livello di visibilità normalmente riservato agli agenti EDR, ma con un'impronta molto più leggera e flessibile.

Questa ricerca apre scenari nuovi: dalla creazione di soluzioni di monitoraggio distribuite senza agenti, fino alla possibilità di individuare (e forse contrastare) attività ostili che sfruttano le stesse tecniche.

Il messaggio è chiaro: l’agentless EDR non è solo un’idea, è una realtà già possibile con ciò che Windows mette a disposizione. Basta sapere dove guardare.

Related posts