Binari Compromessi per Restare Dentro: Compromise Host Software Binary (T1554)

La simulazione di questa tecnica in un esercizio red team richiede di dimostrare che un binario legittimo, una volta modificato, continua ad essere eseguito normalmente mentre svolge operazioni aggiuntive malevole. L'obiettivo non è distruggere il binario, ma renderlo un veicolo di persistenza invisibile.

Scenario 1 — Trojanizzazione di un client SSH su Linux. In laboratorio, partendo da un sistema con OpenSSH installato, il red teamer compila una versione modificata del client SSH che registra le credenziali in un file nascosto. Il concetto è lo stesso usato da Kobalos e Kessel, che sostituiscono il binario SSH per catturare login. In un lab isolato si può procedere scaricando i sorgenti di OpenSSH, aggiungendo una riga di logging nel file auth-passwd.c che scriva username e password in chiaro su un file locale, e ricompilando. Il binario risultante sostituisce /usr/bin/ssh e ogni sessione successiva produce un log di credenziali. Per evitare che il pacchetto venga ripristinato:

sudo yum versionlock add openssh-clients

Questo comando, presente nelle distribuzioni RHEL/CentOS con il plugin yum-plugin-versionlock (open source), blocca il pacchetto alla versione corrente impedendo aggiornamenti automatici.

Scenario 2 — Prepend di codice su macOS. La logica di ThiefQuest è replicabile in laboratorio: uno script Python attraversa una directory, copia il contenuto dell'eseguibile originale in un file nascosto, poi sovrascrive l'originale con uno stub che esegue prima il payload e poi lancia il file nascosto. Il risultato è un binario che sembra identico ma esegue codice aggiuntivo.

Scenario 3 — Patching di un PE su Windows. Per simulare il patching dell'entry point, lo strumento backdoor-factory, ormai datato, è stato concettualmente sostituito da tecniche manuali con LIEF (open source), una libreria Python per il parsing e la modifica di eseguibili PE, ELF e Mach-O. Un red teamer può usarla per modificare l'entry point di un binario firmato:

import lief; binary = lief.parse("notepad.exe"); binary.optional_header.addressof_entrypoint = 0xNEWADDR; binary.write("notepad_patched.exe")

Dopo il patching, la firma digitale risulterà invalida — esattamente il segnale che il blue team deve cogliere. Per verificarlo:

sigcheck.exe -e -u C:\Windows\notepad_patched.exe

Sigcheck (gratuito), parte della suite Sysinternals, elenca i binari con firma non valida o assente nella directory specificata.

Scenario 4 — Appliance di rete. Per chi opera su dispositivi Ivanti o Pulse Secure in ambiente lab, il pattern della campagna Cutting Edge prevedeva l'iniezione di codice in file Python e CGI legittimi dell'appliance. Un esercizio realistico può consistere nel modificare uno script CGI di un'applicazione web interna, inserendo un handler che risponda a un parametro HTTP specifico con una reverse shell.

La detection di questa tecnica si basa su un principio fondamentale: i binari legittimi non cambiano al di fuori delle finestre di patching. Ogni modifica a un eseguibile in una directory di sistema, se non correlata a un aggiornamento pianificato, è un segnale ad alta fedeltà.

Windows — Sysmon e integrità delle firme. Le fonti log primarie sono WinEventLog:Sysmon e WinEventLog:Security. L'analisi AN0949 prescrive di monitorare le scritture su directory critiche come C:\Windows\System32 e Program Files, correlandole con l'esecuzione successiva di processi la cui firma digitale risulta assente o invalida. In Sysmon, l'EventCode 11 (FileCreate) sulle directory monitorate, seguito da un EventCode 1 (ProcessCreate) con campo Signature a Invalid o Not signed, è la correlazione chiave. La finestra temporale tra modifica del file ed esecuzione va calibrata — un intervallo iniziale di 60 minuti è ragionevole, da restringere dopo il tuning.

Per contenere i falsi positivi, occorre costruire una whitelist dei processi di aggiornamento legittimi: Windows Update, SCCM/MECM, software deployment aziendale. Il parametro SignatureValidation consente di regolare la severità della verifica: in ambienti con molto software legacy non firmato, un enforcement troppo rigido genera rumore insostenibile.

Linux — auditd e File Integrity Monitoring. Le fonti log sono auditd:SYSCALL e auditd:EXECVE. La regola auditd da implementare monitora le scritture su /usr/bin, /usr/sbin e /opt:

-w /usr/bin -p wa -k binary_tamper

Questa regola genera un evento per ogni scrittura o modifica di attributi nella directory. L'analisi AN0950 suggerisce di mantenere un catalogo di hash "golden" per i binari critici: strumenti come AIDE (open source) o OSSEC (open source) eseguono confronti periodici e segnalano le divergenze. Ogni riavvio di servizio non preceduto da un aggiornamento yum/apt documentato merita investigazione.

macOS — Unified Log e Gatekeeper. I macos:unifiedlog registrano i tentativi di bypass del Gatekeeper e le violazioni di notarizzazione. L'analisi AN0951 indica di monitorare le directory /Applications e le librerie di sistema per modifiche a binari firmati. Il comando codesign --verify --deep --strict può essere schedulato periodicamente sui binari critici.

ESXi — Moduli e servizi host. I log esxi:hostd e esxi:vmkernel catturano il caricamento di moduli kernel e le anomalie nei servizi host. L'analisi AN0952 prescrive di definire un baseline dei binari e moduli ESXi autorizzati, correlando ogni modifica con il comportamento successivo dei servizi. Questo scenario è particolarmente rilevante dato l'uso documentato di UNC3886 su infrastrutture Juniper e Fortinet.

Mitigazione preventiva. L'implementazione di Code Signing (M1045) rappresenta il controllo preventivo primario: configurare AppLocker o WDAC su Windows per consentire l'esecuzione dei soli binari firmati, e Secure Boot su Linux per la catena di avvio, riduce drasticamente la superficie di attacco.

L'indagine forense su un binario compromesso segue un percorso in tre fasi: identificazione della modifica, ricostruzione della catena temporale e attribuzione del meccanismo di persistenza.

Fase 1 — Identificare i binari alterati. Il punto di partenza è il confronto hash. Su Windows, Sigcheck consente di scansionare ricorsivamente una directory e identificare binari con firma invalida. Su Linux, il confronto tra l'hash di un binario installato e quello atteso dal package manager è immediato:

rpm -Va

Questo comando (su distribuzioni RHEL/CentOS) verifica tutti i pacchetti installati e segnala con flag 5 i file il cui hash MD5 non corrisponde. Su Debian/Ubuntu l'equivalente è debsums -c (open source, richiede il pacchetto debsums). Qualsiasi binario il cui hash diverge dal pacchetto originale, senza che sia documentato un aggiornamento, diventa un artefatto di interesse primario.

Per le appliance di rete — scenario ricorrente nelle campagne documentate — l'analisi richiede l'accesso al filesystem del dispositivo. Nelle compromissioni Ivanti documentate dalla campagna Cutting Edge (C0029), i file trojanizzati erano componenti Python e CGI legittimi come visits.py, compcheckresult.cgi e querymanifest.cgi. Il confronto con una copia pulita dell'appliance rivela le righe iniettate.

Fase 2 — Ricostruire la timeline. I timestamp MACB (Modified, Accessed, Changed, Born) del binario modificato forniscono il primo pivot temporale. Su Linux, stat restituisce i quattro timestamp; su filesystem ext4, il campo crtime (birth time) richiede debugfs. L'analista correla il momento della modifica con i log auditd — in particolare gli eventi SYSCALL con syscall open e flag O_WRONLY o O_RDWR sulla path del binario — per risalire al processo che ha effettuato la scrittura.

Su Windows, la Master File Table ($MFT) contiene i timestamp sia della Standard Information che della Filename attribute. Una discrepanza tra i due set può indicare timestomping. Gli strumenti MFTECmd di Eric Zimmerman (open source) e Plaso/log2timeline (open source) permettono di estrarre e correlare questi dati in una supertimeline.

Fase 3 — Analizzare il meccanismo di persistenza. Per il patching dell'entry point, il confronto tra il binario sospetto e una copia pulita con un diffing tool binario come radare2 (open source) evidenzia le sezioni modificate. Il comando:

radiff2 -g original.bin suspect.bin

genera un visual diff del control flow graph. Per i binari che usano la tecnica prepend, come ThiefQuest, l'analisi dell'header rivela dimensioni anomale: un Mach-O il cui segmento __TEXT inizia con un offset inatteso merita disassembly con Ghidra (open source).

Nell'attacco ucraino al settore energia (C0025), Industroyer sfruttava una versione trojanizzata di Windows Notepad come livello aggiuntivo di persistenza. L'artefatto chiave in quel caso era la dimensione anomala del binario rispetto alla versione originale e la presenza di import non standard nella IAT.

Infine, verificate la presenza di lock sui pacchetti: su sistemi con yum, il file /etc/yum/pluginconf.d/versionlock.list contiene l'elenco dei pacchetti bloccati. Un pacchetto critico come openssh presente in questa lista, senza giustificazione operativa, è un indicatore forte di compromissione.

Il panorama degli attori che sfruttano la compromissione dei binari host rivela un pattern chiaro: questa tecnica è prediletta da gruppi con capacità avanzate che operano su infrastrutture di rete enterprise, non solo su endpoint tradizionali.

UNC3886 (G1048) rappresenta il profilo più sofisticato. Questo gruppo ha dimostrato la capacità di operare sia su dispositivi Fortinet — trojanizzando il firmware e sostituendo il daemon TACACS+ /usr/bin/tac_plus con una versione che registra le credenziali — sia su router Juniper MX Series, come documentato nella campagna RedPenguin (C0056, luglio 2024 – marzo 2025). In quest'ultima operazione, UNC3886 ha eseguito attacchi di patching in memoria locale sui daemon snmpd e mgd di Junos OS, deployando varianti custom della backdoor TINYSHELL. Il profilo operativo indica un interesse primario per l'infrastruttura di rete come punto di persistenza a lungo termine, dove visibilità EDR e capacità forensi sono strutturalmente limitate.

APT5 (G1023) opera con un focus specifico sulle appliance VPN. Il gruppo ha modificato binari e script legittimi di Pulse Secure VPN, alterando il file DSUpgrade.pm per installare la webshell ATRIUM. Il vettore è rappresentativo di un pattern più ampio: le appliance VPN rappresentano un punto cieco per molte organizzazioni, che raramente applicano file integrity monitoring su questi dispositivi.

La campagna Cutting Edge (C0029, dicembre 2023 – febbraio 2024), attribuita ad attori del nexus cinese identificati come UNC5221/UTA0178 e UNC5325, ha portato la compromissione di binari su appliance Ivanti Connect Secure a scala industriale. L'ecosistema malware associato è particolarmente ricco: WARPWIRE (S1116), BUSHWALK (S1118), LIGHTWIRE (S1119), FRAMESTING (S1120) e WIREFIRE (S1115) si iniettano tutti in componenti legittimi dell'appliance — file Python, script CGI, pacchetti interni. Questo approccio modulare, in cui ogni impianto si nasconde dentro un file diverso, complica enormemente la bonifica.

Il pattern convergente è l'attenzione crescente per dispositivi perimetrali — VPN, firewall, router — come bersaglio primario. L'attacco 2016 Ukraine Electric Power Attack (C0025) del Sandworm Team, che utilizzava una versione trojanizzata di Notepad come persistenza aggiuntiva per Industroyer, resta un'eccezione orientata all'endpoint in un panorama dominato dalle appliance.

A livello di tool overlap, Kobalos (S0641), Kessel (S0487), Bonadan (S0486) e Ebury (S0377) condividono tutti la strategia di trojanizzare componenti OpenSSH o librerie correlate, suggerendo che questa catena software rimane uno dei bersagli più redditizi per il credential harvesting persistente. BOLDMOVE (S1184) introduce un elemento di resilienza avanzata: un watchdog che monitora il binario trojanizzato e lo ripristina se qualcuno lo sostituisce con una versione pulita, garantendo persistenza anche attraverso aggiornamenti di sistema.

Per il threat intelligence operativo, il consiglio è prioritizzare il monitoraggio dell'integrità dei binari sulle appliance perimetrali con la stessa urgenza dedicata agli endpoint. I gruppi che usano T1554 sono pazienti, operano su infrastrutture dove la visibilità è minima e puntano alla persistenza multi-mese.

Framework MITRE ATT&CK v16: T1554, TA0003, G1048, G1023, C0029, C0025, C0056, M1045. Software: S1116, S0604, S1136, S1118, S0641, S0487, S0595, S1121, S1184, S0377, S1119, S0486, S0658, S1120, S1104, S1115. Detection: DET0336 (AN0949–AN0952). Integrato con conoscenza professionale per tool e procedure operative.