Installer Hijacking: Hijack Execution Flow - Executable Installer File Permissions Weakness (T1574.005)

L'exploit di questa vulnerabilità inizia identificando installer vulnerabili che creano directory temporanee con permessi permissivi. PowerUp del framework PowerSploit automatizza questa ricerca con il comando:

Invoke-AllChecks -Verbose | Where-Object {$_.AbuseFunction -match "Install-ServiceBinary"}

Una volta identificato un installer vulnerabile, monitora il processo di installazione per catturare i percorsi temporanei utilizzati. Process Monitor di Sysinternals rivela in tempo reale dove l'installer decomprime i suoi file. Configura un filtro per il processo installer e osserva gli eventi CreateFile nelle directory %TEMP%.

La sostituzione del binario richiede tempismo preciso. Crea uno script che monitora la creazione della directory temporanea e sostituisce immediatamente l'eseguibile target:

$targetPath = "$env:TEMP\SetupTemp_*\legitimate.exe"
while (-not (Test-Path $targetPath)) { Start-Sleep -Milliseconds 100 }
Copy-Item malicious.exe $targetPath -Force

Per Linux, la tecnica si adatta agli installer che utilizzano /tmp con permessi 777. Monitora con inotifywait e sostituisci il binario appena viene estratto:

inotifywait -m /tmp -e create | while read path action file; do cp malicious.bin "$path/$file" 2>/dev/null; done

Il payload deve mantenere le funzionalità originali per evitare crash dell'installer. Usa msfvenom per generare un payload che preserva il flusso di esecuzione originale incorporando il codice malevolo.

La persistenza si ottiene targetizzando installer che vengono eseguiti durante aggiornamenti automatici o manutenzione pianificata. Identifica questi pattern analizzando le Task Schedule di Windows o i cron job di Linux che invocano processi di installazione.

La detection efficace richiede correlazione tra eventi di scrittura file e successive esecuzioni con privilegi elevati. Sysmon fornisce la visibilità necessaria attraverso gli EventID 11 (FileCreate) e 1 (ProcessCreate).

Configura una regola che correla questi eventi quando si verificano in sequenza temporale stretta. Il file creato in %TEMP% da un processo utente standard che viene poi eseguito da un processo con privilegi elevati genera un alert ad alta confidenza:

<RuleGroup name="InstallerHijack" groupRelation="and">
  <FileCreate onmatch="include">
    <TargetFilename condition="contains">%TEMP%</TargetFilename>
    <User condition="not contains">SYSTEM</User>
  </FileCreate>
  <ProcessCreate onmatch="include">
    <Image condition="same">TargetFilename</Image>
    <IntegrityLevel condition="is">High</IntegrityLevel>
  </ProcessCreate>
</RuleGroup>

Il monitoraggio dei permessi DACL su directory critiche identifica configurazioni vulnerabili prima dello sfruttamento. PowerShell automatizza questa verifica:

Get-Acl C:\ProgramData* | Where-Object {$.Access | Where-Object {$.IdentityReference -eq "BUILTIN\Users" -and $_.FileSystemRights -match "Write"}}

I falsi positivi derivano principalmente da installer legittimi che modificano temporaneamente i permessi. Crea una baseline dei comportamenti normali durante finestre di manutenzione pianificata per distinguere attività legittime da quelle anomale.

L'analisi comportamentale deve includere il monitoraggio di processi installer che caricano DLL o eseguibili non firmati digitalmente. Windows Defender Application Control (WDAC) in modalità audit genera eventi 3076 e 3077 che evidenziano queste anomalie senza bloccare l'esecuzione.

La ricostruzione forense inizia dall'analisi delle directory temporanee e dei percorsi di installazione. Windows Prefetch contiene tracce di esecuzione che persistono anche dopo la cancellazione dei file originali. Analizza i file .pf in C:\Windows\Prefetch cercando installer eseguiti con pattern anomali.

Il registro NTUSER.DAT dell'utente compromesso conserva evidenze nelle chiavi UserAssist e RecentDocs. Questi artefatti rivelano quando l'utente ha interagito con installer malevoli mascherati da software legittimo:

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist" /s

La timeline si arricchisce correlando i Windows Event Log. L'EventID 4688 (Process Creation) con il flag "Token Elevation Type" indica processi che hanno ottenuto privilegi elevati. Correla questi eventi con modifiche ai file di sistema registrate nel log Microsoft-Windows-Kernel-File.

Per sistemi Linux, l'analisi di /var/log/auth.log rivela tentativi di elevazione privilegi attraverso sudo o su. I timestamp delle modifiche ai binari in /tmp si confrontano con le voci del log per identificare la sequenza di compromissione.

L'USN Journal di NTFS fornisce una registrazione dettagliata di tutte le operazioni file, incluse quelle in directory temporanee già ripulite. Usa fsutil per estrarre questi record:

fsutil usn readjournal C: csv | findstr /i "temp..exe"*

La memoria volatile contiene evidenze cruciali. Volatility framework identifica processi con privilegi elevati che hanno caricato eseguibili da percorsi anomali attraverso il plugin malfind, rivelando injection che potrebbero essere sfuggite all'analisi su disco.

Mustang Panda rappresenta il caso documentato principale per questa tecnica. Il gruppo, attribuito a interessi cinesi, ha dimostrato sofisticazione nell'uso di installer legittimi come vettori di attacco. La loro campagna con IRSetup.exe evidenzia la preferenza per tool di installazione commerciali ampiamente utilizzati.

L'analisi delle infrastrutture di Mustang Panda rivela pattern ricorrenti. Prediligono installer di software popolari in specifiche regioni geografiche target, adattando i loro attacchi al software più diffuso nelle organizzazioni obiettivo. Questa intelligence permette di anticipare quali installer potrebbero essere weaponizzati in future campagne.

La sovrapposizione di tool tra gruppi APT suggerisce condivisione di tecniche nel cybercrime underground. Gruppi che storicamente hanno utilizzato DLL hijacking mostrano interesse crescente per questa variante che sfrutta installer, indicando un'evoluzione tattica verso tecniche con minore footprint di detection.

I trend geografici mostrano concentrazione di questi attacchi in regioni con alta adozione di software legacy o personalizzato che utilizza installer con configurazioni permissive. Le organizzazioni in Asia-Pacifico risultano particolarmente esposte data la prevalenza di software localizzato con pratiche di sicurezza meno mature.

L'evoluzione prevista include l'automazione della scoperta di installer vulnerabili attraverso scanning massivi e lo sviluppo di framework specializzati per questa tecnica. L'intelligence suggerisce che gruppi state-sponsored stanno investendo in capacità di persistence a lungo termine attraverso supply chain di installer compromessi.

Framework MITRE ATT&CK documenta questa tecnica come T1574.005 nell'ambito di Hijack Execution Flow. Le campagne di Mustang Panda forniscono case study operativi verificati. Microsoft Security Response Center pubblica advisory specifici per vulnerabilità in installer comuni, mentre offensive security community mantiene database di installer vulnerabili noti.