Hijacking .NET: Hijack Execution Flow - COR_PROFILER (T1574.012)

Per comprendere questa tecnica, iniziamo creando una DLL di profiling malevola. Su Windows, il COR_PROFILER può essere configurato a tre livelli: sistema, utente o processo. La configurazione più persistente avviene attraverso il registro di sistema.

Prima di tutto, verifichiamo se sono già presenti profiler configurati: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v COR_ENABLE_PROFILING reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v COR_PROFILER

Per impostare un profiler a livello di sistema (richiede privilegi amministrativi): reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v COR_ENABLE_PROFILING /t REG_SZ /d "1" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v COR_PROFILER /t REG_SZ /d "{11111111-1111-1111-1111-111111111111}" /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" /v COR_PROFILER_PATH /t REG_SZ /d "C:\Temp\malicious.dll" /f

Blue Mockingbird ha dimostrato l'efficacia di questa tecnica utilizzando wmic.exe per modificare le variabili d'ambiente. Un approccio alternativo consiste nel creare un profiler in-memory senza toccare il registro:

$env:COR_ENABLE_PROFILING = "1" $env:COR_PROFILER = "{11111111-1111-1111-1111-111111111111}" $env:COR_PROFILER_PATH = "C:\Temp\evil.dll"

Ogni nuovo processo .NET avviato da questa sessione PowerShell caricherà automaticamente la DLL specificata. Per testare l'hijacking, esegui qualsiasi applicazione .NET come powershell.exe o un semplice programma C#.

Su Linux con .NET Core, il meccanismo è simile ma utilizza variabili d'ambiente standard: export CORECLR_ENABLE_PROFILING=1 export CORECLR_PROFILER={11111111-1111-1111-1111-111111111111} export CORECLR_PROFILER_PATH=/tmp/profiler.so

Un aspetto interessante è che la DLL di profilazione viene caricata prima dell'esecuzione del codice gestito, permettendo di intercettare e modificare il comportamento dell'applicazione fin dall'inizio.

La detection efficace di questa tecnica richiede un approccio multistrato. Windows offre diversi punti di visibilità attraverso i log di sicurezza e Sysmon, ma la chiave sta nel correlare eventi apparentemente disconnessi.

Monitora le modifiche alle chiavi di registro critiche con Sysmon EventID 13: TargetObject contains "COR_ENABLE_PROFILING" OR "COR_PROFILER" OR "COR_PROFILER_PATH"

Questi eventi devono essere correlati con il successivo caricamento di DLL sospette (Sysmon EventID 7). Un pattern tipico mostra la modifica del registro seguita entro pochi secondi dal caricamento di una DLL non firmata in processi .NET.

La baseline è fondamentale: identifica i profiler legittimi nel tuo ambiente (Visual Studio, Application Insights). Qualsiasi CLSID non presente nella whitelist dovrebbe generare un alert ad alta priorità. Presta particolare attenzione ai percorsi delle DLL: profiler legittimi risiedono tipicamente in directory di sistema o del programma, non in %TEMP% o %APPDATA%.

Per ridurre i falsi positivi, implementa una logica di correlazione temporale. Se vedi:

1. Modifica registry COR_PROFILER (EventID 13)
2. Creazione file DLL in directory sospetta (EventID 11)
3. Caricamento DLL in processo .NET (EventID 7)

Tutto entro una finestra di 60 secondi, hai probabilmente identificato un tentativo di hijacking.

Un indicatore comportamentale efficace è il caricamento di DLL non firmate digitalmente in processi .NET critici come w3wp.exe (IIS) o servizi Windows basati su .NET. Configura alert specifici per questi processi ad alto valore.

L'analisi forense di un hijacking COR_PROFILER richiede l'esame di molteplici artefatti. Su Windows, inizia dal registro di sistema, specificamente le chiavi sotto: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment HKCU\Environment

I timestamp di modifica di queste chiavi forniscono il momento iniziale dell'attacco. Tuttavia, ricorda che gli attaccanti possono utilizzare tecniche di timestomping per alterare questi valori.

Il Prefetch può rivelare l'esecuzione di tool utilizzati per la modifica, come reg.exe o wmic.exe. Esamina i file .pf corrispondenti per identificare i parametri della riga di comando utilizzati. L'USN Journal registra la creazione della DLL malevola, fornendo un timestamp affidabile per la preparazione dell'attacco.

DarkTortilla implementa controlli anti-analisi verificando la variabile COR_ENABLE_PROFILING, suggerendo che alcuni malware sono consapevoli di essere profilati. Durante l'analisi, cerca tracce di questi controlli nei dump di memoria o nei log di debug.

La timeline tipica mostra questo pattern:

1. Creazione/modifica della DLL di profiling
2. Modifica delle variabili d'ambiente o del registro
3. Riavvio di servizi .NET o nuovo login utente
4. Caricamento automatico della DLL in tutti i processi .NET

Per Linux, esamina .bashrc, .profile e /etc/environment per modifiche alle variabili CORECLR_*. I log di auditd possono catturare queste modifiche se opportunamente configurati.

La persistenza del profiler sopravvive ai riavvii quando configurata a livello di sistema, quindi controlla sempre gli artefatti di autostart in combinazione con le configurazioni COR_PROFILER.

Blue Mockingbird rimane l'esempio più documentato di utilizzo operativo di questa tecnica. Questo gruppo, specializzato in cryptomining su larga scala, ha dimostrato come il COR_PROFILER possa essere weaponizzato per mantenere la persistenza in ambienti enterprise.

Il loro modus operandi prevedeva l'uso di wmic.exe per modificare le variabili d'ambiente, una scelta tattica che evita l'uso diretto di reg.exe, potenzialmente monitorato più attentamente. Questa preferenza per tool di sistema legittimi è caratteristica di gruppi che puntano alla longevità piuttosto che allo smash-and-grab.

L'overlap di tool suggerisce che questa tecnica sia ancora relativamente di nicchia. La presenza di DarkTortilla con le sue capacità anti-profilazione indica tuttavia un'evoluzione: i malware stanno diventando consapevoli di essere analizzati tramite profiler.

Dal punto di vista geografico, l'adozione limitata suggerisce che la tecnica richieda una comprensione approfondita dell'ecosistema .NET, limitandone l'uso a gruppi con capacità tecniche avanzate o accesso a sviluppatori specializzati.

I trend futuri probabilmente vedranno:

• Maggiore adozione da parte di ransomware targeting ambienti enterprise Windows
• Sviluppo di profiler che implementano tecniche di evasione più sofisticate
• Possibile espansione a .NET Core su Linux per targeting di container e microservizi

La rarità attuale della tecnica la rende un indicatore ad alto valore: la sua presenza suggerisce un attaccante sofisticato con obiettivi a lungo termine.

Analisi basata sul framework MITRE ATT&CK, tecnica T1574.012. Documentazione di Blue Mockingbird e relative campagne di cryptomining. Specifiche tecniche Microsoft per COR_PROFILER e .NET Framework profiling API. Detection strategy DET0479 per identificazione di hijacking del flusso di esecuzione Windows.