AppInit DLL: Event Triggered Execution - AppInit DLLs (T1546.010)

Per comprendere come gli attaccanti sfruttano questa tecnica, iniziamo con l'analisi delle chiavi di registro critiche. Il meccanismo ruota attorno a due percorsi principali nel registro di Windows:

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs

reg query "HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs

La seconda chiave è particolarmente importante per i sistemi a 64 bit, dove gestisce le DLL per i processi a 32 bit. Per abilitare effettivamente il caricamento delle DLL specificate, è necessario impostare anche il valore LoadAppInit_DLLs a 1.

Vediamo come il malware T9000 implementa questa tecnica. Dopo aver verificato che la vittima soddisfi determinati criteri, crea la DLL malevola ResN32.dll nella cartella %APPDATA%\Intel\ e poi modifica il registro:

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /d "%APPDATA%\Intel\ResN32.dll" /f

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /f

Un approccio simile è utilizzato da Cherry Picker, che posiziona la sua DLL pserver32.dll direttamente nel percorso di sistema. Per testare in laboratorio, puoi creare una DLL di test che logga semplicemente i processi in cui viene caricata:

msfvenom -p windows/x64/exec CMD=calc.exe -f dll > test.dll

*copy test.dll C:\Windows\System32*

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /d "test.dll" /f

Il malware Ramsay dimostra una variante più sofisticata, utilizzando questa tecnica per l'injection in processi specifici. Prima enumera i processi target, poi sfrutta AppInit per garantire che la sua DLL venga caricata automaticamente quando questi processi vengono avviati.

Per verificare quali processi stanno caricando le AppInit DLL, puoi utilizzare Process Monitor con questi filtri: Operation is "Process and Thread Activity", Path contains "user32.dll". Questo ti mostrerà in tempo reale quali processi stanno importando user32.dll e quindi caricando le tue DLL di test.

La detection di questa tecnica richiede un approccio multi-livello che correli modifiche al registro con comportamenti anomali dei processi. La strategia DET0557 suggerisce di monitorare specificamente le modifiche alle chiavi AppInit_DLLs seguite dal caricamento di DLL sospette.

Iniziamo configurando il monitoraggio con Sysmon. Eventi critici da catturare sono EventCode 12 e 13 per le modifiche al registro, e EventCode 7 per il caricamento delle DLL:

<RuleGroup name="AppInit_Detection">
  <RegistryEvent onmatch="include">
    <TargetObject condition="contains">Windows NT\CurrentVersion\Windows\AppInit_DLLs</TargetObject>
  </RegistryEvent>
  <ImageLoad onmatch="include">
    <ImageLoaded condition="end with">user32.dll</ImageLoaded>
  </ImageLoad>
</RuleGroup>

Il gruppo APT39 è noto per utilizzare questa tecnica impostando LoadAppInit_DLLs nel registro. Un alert efficace deve quindi correlate due eventi in sequenza: prima la modifica del registro, poi il caricamento anomalo di DLL.

Per ridurre i falsi positivi, implementa whitelist basate su [ImagePathWhitelist] per escludere DLL legittime di sistema. Monitora particolarmente DLL non firmate digitalmente attraverso il parametro [DLLSignatureStatus]. Il contesto utente [UserContext] è cruciale: modifiche effettuate da account non amministrativi sono altamente sospette.

Un esempio di query Splunk per questa correlazione:

index=sysmon (EventCode=12 OR EventCode=13) TargetObject="AppInit_DLLs" | join type=outer process_guid [search index=sysmon EventCode=7 ImageLoaded="user32.dll" | where SignedStatus!="Valid"]

Imposta una finestra temporale [TimeWindow] di 5 minuti tra la modifica del registro e il primo caricamento della DLL sospetta. Questo riduce il rumore mantenendo alta l'efficacia della detection.

L'analisi forense di un attacco basato su AppInit DLL richiede l'esame di diversi artefatti chiave. Inizia sempre dall'analisi del registro di sistema, verificando sia le chiavi attive che le tracce storiche nelle hive di backup.

Le chiavi primarie da esaminare si trovano in HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows. Utilizza RegRipper per estrarre i timestamp di ultima modifica:

rip.exe -r SOFTWARE -p appinit

Questo ti fornirà non solo i valori correnti ma anche i timestamp MRU (Most Recently Used) che indicano quando sono state effettuate le modifiche. Confronta questi timestamp con gli eventi nel Security Event Log per identificare l'account che ha effettuato le modifiche.

Il malware T9000 lascia tracce caratteristiche nella cartella %APPDATA%\Intel. Cerca la presenza di ResN32.dll e analizza i timestamp di creazione del file. Utilizza tools come PEStudio per verificare le import table della DLL e identificare potenziali capacità malevole.

Per Cherry Picker, la DLL pserver32.dll viene tipicamente posizionata direttamente in System32. Verifica la presenza di questa DLL confrontandola con una baseline pulita del sistema. L'analisi delle stringhe embedded può rivelare indicatori di compromissione aggiuntivi.

La ricostruzione della timeline deve includere l'analisi dei prefetch files. Quando una nuova AppInit DLL viene caricata, tutti i processi che importano user32.dll genereranno nuovi prefetch:

dir C:\Windows\Prefetch*.pf /od

Cerca cluster di file prefetch creati nello stesso periodo temporale della modifica al registro. Questo pattern indica il momento esatto in cui la DLL malevola ha iniziato a essere caricata su scala sistemica.

Per Ramsay, l'analisi deve includere la verifica di injection secondarie. Esamina la memoria dei processi critici utilizzando Volatility per identificare DLL caricate in modo anomalo che potrebbero essere state iniettate attraverso il meccanismo AppInit.

APT39, noto anche come Chafer, rappresenta l'unico gruppo documentato che utilizza attivamente questa tecnica. Questo gruppo, con forti legami con l'Iran, ha dimostrato una predilezione per tecniche di persistenza che garantiscono accesso a lungo termine alle infrastrutture compromesse.

L'utilizzo di AppInit DLL da parte di APT39 si inserisce in un pattern operativo più ampio. Il gruppo tipicamente combina questa tecnica con altre forme di persistenza, creando ridondanza nel caso una venga scoperta. La loro implementazione sfrutta specificamente la modifica di LoadAppInit_DLLs nel registro SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows.

Analizzando il panorama dei malware che implementano questa tecnica, emergono pattern interessanti. T9000 rappresenta l'implementazione più sofisticata, con verifiche preliminari sulla vittima prima dell'installazione. La DLL ResN32.dll viene posizionata strategicamente in %APPDATA%\Intel, mimando una directory legittima.

Cherry Picker adotta un approccio più diretto, posizionando pserver32.dll direttamente in System32. Questa scelta indica operatori meno sofisticati ma più aggressivi, disposti a correre rischi maggiori di detection in cambio di una persistenza più robusta.

Ramsay dimostra capacità di targeting avanzate, utilizzando AppInit come trampolino per injection mirate. Questo suggerisce operatori con obiettivi specifici di esfiltrazione dati piuttosto che semplice persistenza.

La convergenza geografica è notevole: mentre APT39 opera dal Medio Oriente, i malware documentati mostrano distribuzioni globali ma con concentrazioni in aree di interesse geopolitico. L'overlap negli strumenti suggerisce possibili condivisioni nel mercato underground o sviluppi paralleli basati su codice pubblicamente disponibile.

Documentazione tecnica basata su MITRE ATT&CK Framework per la tecnica T1546.010 Event Triggered Execution: AppInit DLLs. Analisi delle implementazioni di APT39, malware T9000, Cherry Picker e Ramsay. Strategie di detection validate attraverso DET0557 con focus su correlazione eventi Sysmon e analisi comportamentale AppInit.