🔐 "Quando i file di Windows sono bloccati, NinjaCopy trova la strada."

Invoke-NinjaCopy è una funzione di PowerShell inclusa nel framework PowerSploit, pensata per eseguire una copia di file su un sistema Windows senza utilizzare le API standard del filesystem (quelle normalmente intercettate o bloccate da antivirus, EDR, o da Windows stesso se il file è in uso).

In pratica, sfrutta l’accesso diretto al disco tramite raw volume access per leggere e copiare file che sarebbero altrimenti bloccati (ad esempio il registro di Windows o il file SAM).

Caratteristiche principali

• Permette di copiare file bloccati o in uso dal sistema.

• Non usa le API Win32 standard (CopyFile, CreateFile, ecc.), quindi spesso aggira i controlli di sicurezza.

• Può essere usato per copiare file di sistema sensibili (come NTDS.dit, SAM, SYSTEM), tipici bersagli durante attività di post-exploitation o forensic acquisition.

• Richiede privilegi elevati (admin / SYSTEM) per accedere ai volumi raw.

Esempio d’uso tipico

Invoke-NinjaCopy -Path "C:\Windows\System32\config\SAM" -LocalDestination "C:\Temp\SAM.copy"

Questo comanda copia il file SAM, anche se normalmente è bloccato dal sistema operativo.

Vuoi che ti prepari una spiegazione più operativa (come funziona dietro le quinte e in quali contesti si usa) o una spiegazione più difensiva (come rilevarlo e bloccarlo)?

🔧 Come funziona operativamente Invoke-NinjaCopy

• Normalmente, quando un programma legge o copia un file, usa le API standard di Windows (es. ReadFile, CopyFile).

• Se il file è in uso dal sistema (come il SAM o NTDS.dit), queste API lo bloccano e restituiscono un errore.

• Invoke-NinjaCopy invece:

  1. Apre il volume fisico del disco (\\.\C:) con accesso raw.

  2. Calcola l’offset del file richiesto all’interno del disco, leggendo la Master File Table (MFT) su NTFS.

  3. Legge direttamente i blocchi di dati dal disco ignorando i lock di Windows.

  4. Ricostruisce il contenuto del file e lo salva in un’altra posizione.

In questo modo può copiare file anche se bloccati o in uso, senza lasciare troppe tracce nei log standard.

🛡️ Aspetti difensivi (rilevazione e mitigazione)

Dal punto di vista difensivo, questo è molto rilevante perché chi attacca può esfiltrare file critici senza usare metodi “visibili”.

Possibili indicatori:

• Apertura sospetta del device \\.\C: o di altri volumi raw.

• Processi PowerShell che fanno accesso diretto ai volumi (raro in scenari legittimi).

• Script che contengono la funzione Invoke-NinjaCopy.

Mitigazioni:

• Limitare i privilegi: funziona solo con Admin o SYSTEM.

• Abilitare Event Tracing for Windows (ETW) o strumenti EDR che intercettano accessi ai device raw.

• Monitorare comandi PowerShell non firmati o caricati in memoria da PowerSploit.

• Bloccare l’uso di PowerSploit e tool simili con regole di Application Control (AppLocker, WDAC).

👉 In pratica, Invoke-NinjaCopy è pensato come tool da red team / post-exploitation, ma viene spesso abusato da attaccanti reali per rubare file critici.