Payload nel Browser: HTML Smuggling (T1027.006)

La simulazione dell'HTML Smuggling in laboratorio è sorprendentemente accessibile: bastano un editor di testo, un browser moderno e qualche riga di JavaScript. L'obiettivo è dimostrare al blue team come un file HTML dall'aspetto inoffensivo possa generare un eseguibile su disco senza alcun download tradizionale.

Costruzione manuale del payload HTML. Il cuore della tecnica è un Blob JavaScript che contiene i byte del payload codificati in base64. In un file HTML crei un array di byte, lo avvolgi in un oggetto Blob, poi generi un URL temporaneo con URL.createObjectURL() e lo assegni a un elemento anchor con attributo download. Quando il browser renderizza la pagina, il file si scarica automaticamente. Per un lab sicuro, usa un payload inerte — ad esempio un file di testo rinominato con estensione .exe — così verifichi il flusso senza rischi.

Il tool Demiguise di NCC Group (open source) automatizza la generazione di file HTML contenenti payload smuggled con cifratura a chiave ambientale: il file si decodifica solo se aperto in un contesto specifico, rendendo l'analisi statica ancora più complessa. La sintassi base prevede di specificare il payload da incorporare, la chiave di cifratura e il file HTML di output.

Un'alternativa più recente è AutoSmuggle (open source), che wrappa automaticamente file come ISO, ZIP o IMG all'interno di HTML con Blob JavaScript. L'approccio è diretto: fornisci il file da incapsulare e ottieni un HTML pronto per il delivery.

Per emulare lo scenario APT29, prepara un file ISO contenente un LNK che punta a un eseguibile benigno, poi incorpora l'ISO in un HTML con tecnica Blob. Invia l'HTML come allegato e-mail tramite un server SMTP di lab. Sul lato difensivo, osserva se il gateway e-mail e l'EDR rilevano la catena.

Alcune verifiche complementari da eseguire nel test:

• Controlla il comportamento del browser con i Content Security Policy (CSP) header: aggiungi header restrittivi al server di test e verifica se bloccano la generazione del Blob
• Testa con le Attack Surface Reduction (ASR) rules di Microsoft Defender abilitate, in particolare la regola che impedisce ai processi Office e browser di creare processi figli
• Verifica se il file risultante mantiene il Mark-of-the-Web (MOTW) tramite l'Alternate Data Stream Zone.Identifier

Lato Linux, puoi usare Python per generare un HTML equivalente senza dipendenze esterne: codifica il payload con il modulo base64, inseriscilo in un template HTML con JavaScript che invoca Blob() e URL.createObjectURL(), poi servi il file con un server HTTP locale (python3 -m http.server).

La detection dell'HTML Smuggling richiede un cambio di prospettiva: non cerchi il payload in transito sulla rete, ma il momento in cui il browser lo partorisce su disco. Il punto di osservazione si sposta dal perimetro all'endpoint.

Sysmon EventID 15 — FileCreateStreamHash è l'indicatore cardine su Windows. Questo evento registra la creazione di Alternate Data Streams, incluso il Zone.Identifier che il browser aggiunge ai file scaricati. Il campo HostUrl nel Zone.Identifier è rivelatore: un valore come about:internet suggerisce che il file è stato generato localmente da contenuto web anziché scaricato da un URL remoto. Correla questo evento con il processo padre: se chrome.exe, msedge.exe o outlook.exe generano file con estensioni sospette (.js, .hta, .exe, .iso, .img) in directory temporanee, hai un candidato forte.

La strategia di detection documentata (DET0313) suggerisce una finestra temporale di 1-10 minuti tra l'apertura dell'HTML e il drop del file con successiva esecuzione. Costruisci la correlazione su tre eventi in sequenza: apertura di un file HTML o navigazione su una pagina, creazione di un file con estensione nella watchlist, esecuzione del file droppato dallo stesso contesto utente.

Su Linux (AN0873), il focus si sposta sui log auditd con syscall di tipo execve precedute da scritture in /tmp/ o ~/Downloads/. Configura regole auditd per monitorare la creazione di file eseguibili in queste directory e correla con l'albero dei processi del browser. Con osquery (open source) puoi schedulare query periodiche sulla tabella process_events filtrate per parent process corrispondente al browser.

Su macOS (AN0874), il database di quarantena del sistema e i log Gatekeeper sono preziosi. Un file droppato da Safari o Chrome dovrebbe avere il flag di quarantena; se il flag è assente o viene bypassato, è un segnale d'allarme. Cerca nei log unificati stringhe JavaScript indicative: msSaveBlob, download.href, createObjectURL.

Per la gestione dei falsi positivi, il tuning è essenziale. Applicazioni web legittime usano Blob per generare file (esportazioni PDF, download di report). Mantieni una whitelist di domini e processi aziendali che generano Blob leciti. I parametri di tuning includono:

• DroppedFileExtensionWatchlist: estensioni ad alto rischio (.js, .hta, .exe, .iso, .vbs)
• ParentProcessName: processi attesi (browser, Outlook) da cui filtrare il rumore noto
• TimeWindow: finestra tra apertura HTML e drop, regolabile in base al baseline ambientale

Come controllo preventivo, l'enforcement dei CSP header e le ASR rules di Defender riducono la superficie d'attacco prima ancora che la detection entri in gioco.

L'analisi forense dell'HTML Smuggling parte da un principio: il payload non ha una storia di rete convenzionale. Non troverai un record proxy con l'URL del malware scaricato, perché il file è stato assemblato localmente dal browser. Questa assenza è essa stessa un artefatto investigativo.

Zone.Identifier ADS è il primo reperto da acquisire su Windows. Ogni file scaricato da un browser riceve un Alternate Data Stream con metadati sull'origine. In uno scenario di smuggling, il campo HostUrl conterrà tipicamente about:internet anziché un URL remoto diretto. Per estrarlo, usa il comando:

Get-Content -Path "C:\Users<utente>\Downloads<file>" -Stream Zone.Identifier

Questo valore, confrontato con i log proxy, rivela l'asimmetria: il proxy registra il download dell'HTML (piccolo, MIME text/html), ma non il download del payload finale, perché quest'ultimo non ha mai attraversato la rete.

I log del browser rappresentano il secondo pilastro. La cronologia di Chrome (file History, database SQLite nella directory del profilo utente) registra la navigazione verso il file HTML. Le tabelle downloads e downloads_url_chains possono mostrare il file generato dal Blob. Con il tool Hindsight (open source), specializzato nella forensic analysis dei browser Chromium, puoi estrarre e correlare questi artefatti in modo strutturato.

Per ricostruire la timeline su Windows, gli eventi Sysmon sono fondamentali. L'EventID 11 (FileCreate) documenta la creazione del file droppato, l'EventID 1 (ProcessCreate) cattura l'eventuale esecuzione, e l'EventID 15 (FileCreateStreamHash) registra l'ADS. Correla i timestamp di questi tre eventi con il PID del processo browser per ricostruire la catena causale completa.

Nel caso di EnvyScout, l'HTML allegato contiene il JavaScript che estrae un Blob codificato dal corpo del documento e lo scrive su disco. L'analisi statica del file HTML — cercando pattern come atob(), Uint8Array, Blob, createObjectURL — conferma la tecnica. Per QakBot, il file HTML genera un archivio ZIP che a sua volta contiene il loader. La sequenza forense prevede quindi: HTML → ZIP droppato → eseguibile estratto → processo malevolo.

Su macOS, il database di quarantena (~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2) registra ogni file scaricato con timestamp, URL sorgente e applicazione responsabile. Incrociando con i log unificati del sistema (log show --predicate filtrato per il processo browser), ottieni la timeline completa dal click all'esecuzione.

Su Linux, in assenza di un meccanismo nativo equivalente al MOTW, concentrati sui log auditd per le syscall open, write ed execve nelle directory di download, e sui metadati filesystem (stat per timestamp di creazione e accesso).

L'HTML Smuggling è una tecnica trasversale, adottata sia da gruppi state-sponsored sia da operazioni cybercriminali mature. I dati disponibili evidenziano un pattern chiaro: la tecnica serve come ponte tra il delivery iniziale e l'evasione dei controlli perimetrali, inserendosi nella prima fase della catena offensiva.

APT29 — il gruppo di spionaggio attribuito a servizi di intelligence russi — ha integrato l'HTML Smuggling nella propria catena di attacco incorporando file ISO all'interno di allegati HTML con trigger JavaScript. La scelta dell'ISO non è casuale: su versioni precedenti di Windows, i file ISO montati automaticamente non propagavano il Mark-of-the-Web ai file contenuti, creando un doppio bypass — evasione del gateway via smuggling, evasione del MOTW via container ISO. Questa combinazione rivela un approccio ingegneristico alla difensive evasion, dove ogni anello della catena neutralizza un controllo specifico.

Sul fronte malware, QakBot — uno dei loader bancari più prolifici — ha adottato la distribuzione via ZIP incapsulati in HTML smuggled. Questa evoluzione nella delivery chain di QakBot rappresenta un adattamento alle contromisure: man mano che i gateway e-mail hanno iniziato a ispezionare gli allegati ZIP diretti, il passaggio all'HTML Smuggling ha ristabilito la capacità di bypass. EnvyScout, invece, è un malware specificamente progettato attorno alla tecnica: il suo codice JavaScript estrae un Blob codificato dal corpo HTML e lo scrive su disco, fungendo da dropper di prima fase.

Dal punto di vista dei pattern, emergono alcune osservazioni utili per il threat modeling:

• Convergenza tattica: gruppi state-sponsored e cybercriminali condividono la stessa tecnica, il che suggerisce una diffusione cross-ecosystem facilitata dalla semplicità implementativa
• Catena combinata: l'HTML Smuggling raramente è isolato — si accompagna quasi sempre a tecniche di container evasion (ISO, IMG, ZIP) per moltiplicare i livelli di bypass
• Vettore primario e-mail: il delivery avviene prevalentemente via allegato e-mail HTML, sfruttando la fiducia dell'utente verso documenti apparentemente benigni
• Evoluzione prevedibile: con il progressivo hardening dei browser (restrizioni su msSaveBlob, enforcement CSP), ci si può attendere un adattamento verso nuove API JavaScript o tecniche di offuscamento più sofisticate

Per il monitoraggio proattivo, traccia la comparsa di nuovi tool e framework di HTML Smuggling nei repository pubblici e nei forum underground: ogni nuova automazione abbassa la barriera d'ingresso e amplia la base di attori che adottano la tecnica.

Framework MITRE ATT&CK v16: tecnica T1027.006 (HTML Smuggling), tattica TA0005 (Defense Evasion). Gruppo: G0016 (APT29). Software: S0650 (QakBot), S0634 (EnvyScout). Mitigazione: M1048 (Application Isolation and Sandboxing). Detection: DET0313, analitiche AN0872, AN0873, AN0874. Integrato con conoscenza professionale per tool e procedure operative.