Il diario segreto della telemetria di Windows: come i log nascosti hanno sconfitto i cancellatori dei ransomware

Quando i cybercriminali colpiscono, non si limitano a criptare: cancellano. In un recente caso di ransomware, gli aggressori hanno eliminato le prove con precisione chirurgica, cancellando il malware, ripulendo i log e mascherando i loro strumenti. Eppure, in una svolta degna di un thriller informatico, il team di risposta agli incidenti di FortiGuard ha scoperto che la telemetria di Windows aveva silenziosamente registrato ogni mossa degli hacker - proprio sotto i loro occhi.

Il testimone nascosto in Windows

Durante un’indagine su un attacco ransomware di alto profilo, gli analisti forensi di FortiGuard si sono trovati di fronte a un nemico familiare: un sistema “pulito”, ripulito dagli aggressori per eliminare ogni traccia di compromissione. I file di log tradizionali erano spariti, il malware era stato cancellato e ovunque c’erano trucchi di offuscamento. Ma il team ha trovato una speranza in un luogo inaspettato: un file di log binario nascosto in profondità nel filesystem di Windows, noto come AutoLogger-Diagtrack-Listener.etl.

Questo file, generato dal framework Event Tracing for Windows (ETW), è progettato per catturare telemetria dettagliata a fini diagnostici. A differenza dei log eventi standard, ETW registra dati strutturati dal cuore stesso del sistema operativo - kernel, stack TCP/IP e registro - memorizzandoli in file binari ETL. Questi possono essere trascurati sia dagli aggressori che dagli investigatori.

Ciò che FortiGuard ha scoperto è stato sorprendente: nonostante tutti gli sforzi degli aggressori, tracce di malware cancellato e strumenti degli hacker rinominati (come un rootkit GMER camuffato e script batch malevoli) persistevano nel file ETL. Campi forensi chiave - nomi dei processi, argomenti della riga di comando, identificatori di sicurezza utente e relazioni tra processi padre e figlio - sono rimasti intatti, permettendo agli investigatori di ricostruire l’intera sequenza dell’attacco.

Perché questi dati erano ancora lì?

La risposta sta nelle particolarità della telemetria di Windows. Il servizio DiagTrack, quando abilitato e impostato su alta verbosità, popola selettivamente il file AutoLogger-Diagtrack-Listener.etl. Ma gli esperimenti di FortiGuard hanno rivelato che la sua compilazione dipende da trigger interni non documentati - il che significa che a volte il file si riempie di “oro” forense, e a volte no. Questa imprevedibilità rappresenta sia un’opportunità che una sfida per i difensori: quando presente, questo artefatto può cambiare le carte in tavola nell’analisi post-incidente.

Lezioni difensive

L’approccio di Fortinet sfrutta diversi livelli di sicurezza: monitoraggio a livello kernel con FortiEDR, ingestione della telemetria con FortiAnalyzer e FortiSIEM, e intelligence sulle minacce in tempo reale da FortiGuard. Insieme, forniscono visibilità non solo sugli attacchi evidenti, ma anche sulle tracce furtive e spesso trascurate lasciate nella telemetria di sistema. La lezione? Nel gioco del gatto e del topo della computer forensics, gli strumenti diagnostici di Windows possono essere i testimoni silenziosi che fanno pendere la bilancia a favore dei difensori.