Application Shimming: Sfruttare la Compatibilità per Persistere nel Sistema (T1546.011)

La creazione di uno shim malevolo richiede prima la generazione di un database SDB personalizzato. Il processo inizia con l'identificazione dell'applicazione target e la definizione delle modifiche da apportare.

Per generare un database shim che inietta una DLL, utilizza il Compatibility Administrator Tool: sdb-explorer.exe create -target notepad.exe -dll C:\malicious.dll -output custom.sdb

L'installazione avviene tramite sdbinst.exe con privilegi amministrativi: sdbinst.exe -q C:\temp\custom.sdb

Il database viene registrato nel sistema e i file vengono copiati in %WINDIR%\AppPatch\Custom. Per verificare l'installazione, controlla il registro: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom"

Un approccio più sofisticato prevede l'uso di shim che disabilitano le protezioni di sicurezza. Il flag DisableNX permette l'esecuzione di codice in aree di memoria normalmente protette, mentre InjectDLL carica librerie arbitrarie nel processo target.

Per testare la persistenza, crea uno shim che si attiva ad ogni esecuzione di un processo comune come explorer.exe. Questo garantisce l'esecuzione del payload anche dopo riavvii o logout dell'utente. La rimozione richiede: sdbinst.exe -u C:\temp\custom.sdb

L'automazione del processo può essere implementata tramite PowerShell, creando script che generano e installano shim dinamicamente basandosi sull'ambiente target.

Il rilevamento dell'Application Shimming richiede un approccio multi-livello che correla eventi di processo, modifiche al registro e attività del filesystem. La strategia principale si basa sul monitoraggio di sdbinst.exe e delle modifiche ai percorsi critici.

Configura Sysmon per catturare gli eventi ProcessCreate (EventID 1) filtrando per: Image contains "sdbinst.exe" AND CommandLine contains "-q"

Il monitoraggio del registro deve focalizzarsi sulle chiavi:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB

Windows Security Log fornisce visibilità attraverso l'evento 4688 per la creazione processi. Correla questo evento con modifiche al filesystem in %WINDIR%\AppPatch\Custom per identificare l'installazione di nuovi database.

Un pattern comportamentale critico è l'injection di DLL in processi legittimi subito dopo l'installazione di uno shim. Monitora eventi Sysmon CreateRemoteThread (EventID 8) che seguono attività di sdbinst.exe entro una finestra temporale di 5 minuti.

Per ridurre i falsi positivi, mantieni una whitelist dei database shim legittimi nel tuo ambiente. Microsoft e alcuni vendor software utilizzano shim per compatibilità, quindi è essenziale distinguere l'uso legittimo da quello malevolo basandosi su firma digitale, percorso di installazione e contesto di esecuzione.

La detection basata su anomalie può identificare shim che modificano processi critici di sistema o applicazioni di sicurezza, un comportamento raramente legittimo in ambiente enterprise.

L'analisi forense dell'Application Shimming inizia dall'identificazione dei database SDB installati. I percorsi primari da esaminare includono %WINDIR%\AppPatch\Custom e %WINDIR%\AppPatch\AppPatch64\Custom.

Il file sysmain.sdb contiene l'elenco di tutti gli shim installati dal sistema. Utilizza strumenti come sdb-explorer per decompilare i database e analizzare le modifiche applicate: sdb-explorer.exe dump C:\Windows\AppPatch\Custom\malicious.sdb

L'analisi del registro fornisce timestamp cruciali per la timeline. Le chiavi sotto AppCompatFlags contengono valori DWORD con il timestamp di installazione in formato FILETIME. Converti questi valori per determinare quando lo shim è stato installato.

Il Prefetch di Windows registra l'esecuzione di sdbinst.exe, fornendo informazioni su quando e quante volte è stato eseguito. I file .pf in C:\Windows\Prefetch contengono anche riferimenti ai file SDB utilizzati.

ShimRat lascia tracce caratteristiche nella cartella AppPatch, creando file con nomi apparentemente legittimi ma con contenuto malevolo. L'analisi delle stringhe nei file SDB può rivelare percorsi di DLL iniettate o comandi eseguiti.

Per ricostruire l'intera catena di attacco, correla i timestamp di installazione dello shim con eventi di autenticazione, creazione di servizi e traffico di rete anomalo. Gli shim spesso vengono installati nelle prime fasi post-compromissione per garantire persistenza prima che l'accesso iniziale venga scoperto.

FIN7 rappresenta il caso studio principale per l'utilizzo operativo dell'Application Shimming in campagne finanziariamente motivate. Il gruppo ha integrato questa tecnica nel loro toolkit standard, utilizzandola specificamente per mantenere l'accesso a sistemi POS e workstation del personale bancario.

L'analisi dei pattern mostra che FIN7 preferisce installare shim su applicazioni comunemente utilizzate nell'ambiente target, garantendo l'attivazione frequente del loro codice. I loro database SDB spesso includono funzionalità di bypass UAC combinate con meccanismi di injection per caricare i loro tool di post-exploitation.

ShimRat rappresenta l'evoluzione del malware specializzato in questa tecnica. Le varianti analizzate mostrano capacità di auto-installazione dello shim database e meccanismi di fallback se la prima installazione fallisce. Il malware verifica la presenza di privilegi amministrativi prima di tentare l'installazione.

SDBbot implementa un approccio più mirato, creando shim specifici per services.exe su Windows XP e 7. Questa specializzazione suggerisce targeting di ambienti legacy dove le patch di sicurezza sono limitate.

L'overlap nei tool tra gruppi APT che utilizzano Application Shimming è minimo, suggerendo che la tecnica richiede competenze specifiche e non è ancora commoditizzata. I gruppi che la padroneggiano tendono a utilizzarla consistentemente attraverso multiple campagne, indicando un investimento significativo nello sviluppo di capacità.

Framework MITRE ATT&CK T1546.011. Analisi operativa di FIN7, ShimRat, SDBbot e Pillowmint. Microsoft KB3045645 patch documentation. Windows Application Compatibility Infrastructure reference architecture.