Payload Compressi: Obfuscation – Compression (T1027.015)

Il red teamer che vuole simulare questa tecnica in laboratorio ha a disposizione un arsenale ricco, dal banale archivio ZIP password-protetto fino alla compressione in-memory di shellcode. L'obiettivo è testare la capacità dell'EDR e del gateway email di ispezionare contenuto compresso a più livelli.

Il punto di partenza più immediato è la creazione di archivi con payload embedded. Su Windows, MakeCab è già disponibile nativamente e permette di comprimere un eseguibile senza installare nulla:

makecab C:\test\payload.exe C:\test\payload.cab

Per archivi ZIP password-protetti — scenario frequente nelle campagne reali — si può usare 7-Zip (open source) da riga di comando:

7z a -pInfected123 -tzip C:\test\delivery.zip C:\test\payload.exe

La simulazione della concatenazione ZIP, tecnica documentata nella descrizione della tecnica, richiede un approccio binario. Su Linux è sufficiente concatenare due archivi validi:

cat legit.zip malicious.zip > concatenated.zip

Il file risultante appare come un singolo archivio, ma contiene due directory centrali. Alcuni parser leggeranno solo il primo archivio, ignorando il payload nascosto nel secondo. Questo è un test eccellente per validare il comportamento dello strumento di decompressione usato dal gateway email.

Per la compressione di shellcode in-memory, Donut (open source) genera moduli compressi e cifrati partendo da eseguibili .NET, DLL o shellcode grezzo:

donut -i payload.exe -o loader.bin -z 2

Il parametro -z 2 abilita la compressione tramite aPLib. Il risultato è un blob che viene decompresso e iniettato solo a runtime, eludendo la scansione statica del disco.

Su Linux, la catena classica per simulare delivery via gzip — come documentato per Leviathan — prevede:

gzip -c payload.elf > payload.gz

Per testare la detection degli archivi autoestraenti, 7-Zip consente di creare SFX con configurazione di esecuzione automatica. Il red teamer dovrebbe verificare se l'EDR intercetta il processo figlio generato dall'SFX subito dopo l'estrazione.

Infine, per simulare la compressione di stringhe in registry — tecnica usata da Pillowmint — si può comprimere shellcode con PowerShell e scriverlo in una chiave di registro:

$compressed = [IO.Compression.DeflateStream]::new([IO.MemoryStream]::new([IO.File]::ReadAllBytes("payload.bin")), [IO.Compression.CompressionMode]::Compress)

Questo esercizio verifica se il monitoraggio del registro (Sysmon EventCode 13) rileva scritture anomale in chiavi non standard.

La compressione è onnipresente nel traffico legittimo — dagli aggiornamenti software ai backup quotidiani — e questo rende la detection un esercizio di precisione chirurgica. La strategia vincente non cerca "chi comprime", ma la sequenza compressione → esecuzione e le anomalie contestuali.

Su Windows, la sorgente primaria è Sysmon con il canale WinEventLog:Sysmon. L'analytic AN0782 definisce il pattern chiave: monitorare l'invocazione di tool di compressione (7z.exe, WinRAR.exe, MakeCab.exe) seguita dalla creazione o modifica di file con estensioni eseguibili (.exe, .dll), e soprattutto dalla loro esecuzione immediata. Il parametro di tuning critico è SFXExecutionDelay: un intervallo brevissimo tra decompressione e primo processo figlio è altamente sospetto.

Per implementare concretamente questa correlazione, il SOC deve catturare gli eventi Sysmon EventCode 1 (Process Create) filtrando su Image contenente i nomi dei tool di compressione, e correlare con successivi EventCode 1 dove il ParentImage o il percorso del nuovo processo coincide con la directory di estrazione. Le directory da sorvegliare con priorità sono %TEMP%, %APPDATA% e Downloads.

La gestione dei falsi positivi richiede attenzione al contesto utente. Il parametro UserContext suggerisce di restringere la detection agli utenti non-admin o alle sessioni interattive, escludendo le attività sistemistiche automatizzate. In ambienti dove gli amministratori usano frequentemente 7-Zip, una whitelist basata su hash del processo padre e percorso di destinazione riduce il rumore senza sacrificare la copertura.

Su Linux, l'analytic AN0783 si appoggia a auditd con log SYSCALL. Il pattern è analogo: invocazione sequenziale di gzip, tar, bzip2, xz o 7z seguita dall'esecuzione di file appena estratti. I percorsi critici sono /tmp, /dev/shm e le home directory — in particolare quando il file estratto è un binario ELF. Una regola auditd efficace monitora le syscall execve precedute da open o openat sugli stessi percorsi temporanei.

Su macOS, l'analytic AN0784 sfrutta l'Unified Log e fs:fsusage per tracciare utility come ditto, unzip, xar e pkgutil. Il segnale forte è l'estrazione verso path non standard (~/Library/, /private/tmp/) seguita da un chmod +x e dall'esecuzione del binario decompresso. La correlazione temporale — parametro FollowOnExecutionDelta — è il discriminante tra attività legittima e malevola.

Come controllo preventivo, la mitigazione M1049 – Antivirus/Antimalware raccomanda soluzioni capaci di ispezionare ricorsivamente archivi compressi e analizzare archivi SFX, integrando signature, euristica e analisi comportamentale.

L'analisi forense di un attacco basato su compressione segue una traiettoria precisa: dall'arrivo dell'archivio, attraverso l'estrazione, fino all'esecuzione del payload. Ogni passaggio lascia artefatti distinti che, correlati temporalmente, ricostruiscono la catena di compromissione.

Il primo artefatto è il file compresso stesso. Su Windows, la sua comparsa nel filesystem viene registrata negli USN Journal e nel $MFT con timestamp di creazione che coincide tipicamente con il download via browser o client email. La colonna $SI_Created del record MFT del file ZIP o RAR è il punto zero della timeline. Se il vettore è email — scenario comune per Pony, Hancitor, SocGholish, StrelaStealer e PUBLOAD — il client di posta lascia tracce aggiuntive: file .ost/.pst per Outlook, o cache del browser per webmail.

L'estrazione dell'archivio genera una seconda ondata di artefatti. Quando l'utente usa Windows Explorer, il sistema crea una directory temporanea sotto %TEMP% e registra l'evento nei Prefetch del processo explorer.exe (file .pf). Se viene usato un tool esterno come 7-Zip o WinRAR, il Prefetch del rispettivo eseguibile conterrà i riferimenti ai file estratti. Lo strumento MFTECmd (open source, parte della suite di Eric Zimmerman) permette di parsare il $MFT e ricostruire la sequenza temporale:

MFTECmd.exe -f C:$MFT --csv C:\output\ --csvf mft_timeline.csv

Per i casi in cui il payload viene compresso e memorizzato nel registro — come Pillowmint e DarkWatchman — l'analisi si sposta sugli hive di registro. I file NTUSER.DAT e SOFTWARE contengono le chiavi modificate, e il tool RegRipper (open source) consente di estrarre i timestamp dell'ultimo aggiornamento delle chiavi sospette. La presenza di blob binari di grandi dimensioni in chiavi di registro non standard (HKCU\Software\<nome casuale>) è un indicatore forte.

Su Linux, i log di auditd — se configurato con regole sulle syscall execve e open — tracciano l'intera catena: quale utente ha invocato gzip o tar, su quale file, e cosa è stato eseguito successivamente. I timestamp di ctime e mtime dei file estratti in /tmp o /dev/shm completano la timeline. Il tool fls di The Sleuth Kit (open source) permette l'analisi del filesystem anche su immagini disco.

Nel caso di archivi concatenati — la tecnica di evasione ZIP-in-ZIP — l'analista deve esaminare la struttura interna dell'archivio con strumenti come zipdetails (incluso nelle distribuzioni Perl) o binwalk (open source), che identifica firme di formati multipli all'interno di un singolo file e rivela la presenza di directory centrali nascoste.

La compressione dei payload è una tecnica democratica: la usano gruppi con risorse limitate e operazioni state-sponsored sofisticate. Tuttavia, l'analisi dei 7 gruppi documentati rivela pattern di implementazione che aiutano a discriminare gli attori.

Molerats (G0021), attivo nel contesto mediorientale, adotta un approccio diretto: eseguibili compressi in ZIP consegnati alle vittime. È un metodo a basso costo tecnico che punta sul volume e sull'ingegneria sociale più che sulla sofisticazione dell'offuscamento. Pattern simile per Gamaredon Group (G0047), legato al conflitto russo-ucraino, che distribuisce payload malevoli in archivi compressi e file ZIP — un approccio coerente con il suo profilo di operazioni rapide e ad alto volume contro target ucraini.

Threat Group-3390 (G0027) si distingue per l'uso della compressione LZNT1 direttamente sul malware, un algoritmo nativo di Windows usato dal sottosistema NTFS. Questa scelta indica familiarità profonda con gli internals di Windows e un obiettivo di mimetizzazione: la compressione LZNT1 è la stessa che il sistema operativo usa legittimamente, rendendo il payload meno anomalo all'analisi statica.

Higaisa (G0126) combina compressione e codifica Base64, creando payload multistrato. TA2541 (G1018) segue una logica analoga con script compressi e codificati in char-encoding, suggerendo un toolkit orientato all'automazione. Entrambi i gruppi privilegiano la catena compressione-più-encoding come standard operativo.

Mofang (G0103) merita attenzione per il legame diretto tra compressione e delivery via email: il suo tool ShimRat viene compresso dentro allegati malevoli, un pattern che lega T1027.015 alla fase di accesso iniziale via spearphishing.

Leviathan (G0065), gruppo orientato allo spionaggio marittimo e alla difesa, usa specificamente la compressione gzip per offuscare codice. La scelta di gzip — anziché formati archivio completi — indica compressione applicata a livello di componente piuttosto che di delivery, un approccio più granulare.

Sul fronte software, la varietà degli algoritmi è notevole: LZNT1, LZW (PcShare), LZSS (Ninja), aPLib (BADHATCH), Lempel-Ziv (HermeticWiper), QuickLZ (Pandora) e Deflate generico. Questa frammentazione degli algoritmi è essa stessa un indicatore utile: durante il reverse engineering, l'identificazione dell'algoritmo di compressione può restringere il campo degli attribution candidates. Un payload compresso con aPLib, ad esempio, punta verso un set di tool specifico che include BADHATCH e framework come Donut.

Il trend emergente è la compressione multistrato combinata con cifratura. Software come Samurai, Kerrdown e WindTail implementano catene di compressione + cifratura + encoding che richiedono deoffuscamento iterativo, alzando progressivamente la barriera d'ingresso per gli analisti.

Framework MITRE ATT&CK v16 — Tecnica T1027.015 (Obfuscated Files or Information: Compression), tattica TA0005, mitigazione M1049, detection DET0281 (AN0782, AN0783, AN0784). Software referenziati: S0453, S0673, S0499, S0148, S1188, S1050, S1228, S0517, S0466, S1183, S0559, S0665, S1099, S0141, S0664, S1081, S0697, S0444, S0662, S0585, S0695, S1100, S0666, S1124. Gruppi: G0021, G0027, G0047, G0126, G1018, G0103, G0065. Integrato con conoscenza professionale per tool e procedure operative.