Firme Digitali Contraffatte: Invalid Code Signature (T1036.001)

La simulazione di questa tecnica in laboratorio è fondamentale per testare se gli strumenti di detection della propria organizzazione distinguono davvero una firma valida da una contraffatta. L'esercizio si articola in tre fasi: estrazione della firma da un binario legittimo, applicazione su un payload di test e verifica del comportamento degli endpoint agent.

Fase 1 — Estrazione e applicazione della firma con SigThief. Il tool SigThief (open source) permette di strappare la tabella Authenticode da un eseguibile firmato e incollarla su un altro binario. In un terminale Python:

python3 sigthief.py -i -t <payload-di-test.exe> -o <output-con-firma-copiata.exe>

Il file risultante conserva la struttura della firma ma fallisce ogni validazione crittografica, esattamente come il comportamento documentato per BADNEWS e NETWIRE.

Fase 2 — Verifica della firma invalida. Su Windows, Sigcheck di Sysinternals (gratuito) mostra il dettaglio della catena certificativa:

sigcheck.exe -e -v <output-con-firma-copiata.exe>

Il flag -e analizza le immagini eseguibili, -v verifica la firma contro il catalogo di Windows. L'output dovrebbe riportare lo stato "Signed" con verifica "A required certificate is not within its validity period" o simili. Su macOS il comando nativo equivalente è:

codesign --verify --verbose=4

Un risultato del tipo "invalid signature (code or signature have been modified)" conferma che il binario è stato manomesso, scenario coerente con il comportamento di WindTail.

Fase 3 — Test con certificato revocato. Per simulare quanto fatto da Windshift e SplatCloak, si può generare un certificato self-signed con OpenSSL, firmare un binario di test tramite osslsigncode (open source), e poi revocare manualmente il certificato nella CRL locale. L'operazione di firma:

osslsigncode sign -certs <cert.pem> -key <key.pem> -in <payload.exe> -out <payload-signed.exe>

Dopo l'esecuzione, verificate se il vostro EDR logga l'evento, se lo blocca, o se lo ignora silenziosamente. Quest'ultimo scenario è il più pericoloso ed è esattamente ciò che gli avversari sperano. Documentate ogni gap riscontrato e mappate i risultati sulla matrice di detection dell'organizzazione.

Il cuore della detection per questa tecnica sta nel distinguere un binario con firma presente ma invalida da uno semplicemente non firmato. Molti SIEM trattano entrambe le condizioni allo stesso modo, perdendo il segnale più prezioso: qualcuno ha deliberatamente investito tempo per far sembrare legittimo un eseguibile che non lo è.

Log source primari. Su Windows, Sysmon (open source) con la configurazione appropriata è la fonte più affidabile. L'EventCode 1 (Process Creation) cattura i campi relativi alla firma del binario eseguito. Il campo critico è SignatureStatus: i valori da monitorare sono Invalid, Expired, UntrustedRoot e Revoked. Windows Defender genera eventi specifici quando incontra binari con firma non valida, consultabili nel canale Microsoft-Windows-Windows Defender/Operational. Su macOS, il log unificato e gli eventi di Endpoint Security framework espongono il campo CodeSigningStatus con valori come NotTrusted e ModifiedSinceSigning.

La regola di correlazione più efficace incrocia due condizioni: un binario con firma invalida e un processo padre sospetto. Se cmd.exe, powershell.exe o wscript.exe avviano un eseguibile la cui firma fallisce la validazione, il livello di confidenza dell'alert sale drasticamente. Il parametro ParentProcessName è fondamentale per il tuning: senza di esso, ogni aggiornamento software con certificato scaduto genererà rumore.

Gestione dei falsi positivi. Il problema più concreto sono i software legacy con certificati scaduti che continuano a girare in produzione. La soluzione non è disabilitare l'alert, ma creare una whitelist basata su hash dei binari noti e rivedere la lista mensilmente. Il campo TimeWindow nella correlazione — tipicamente 5-10 secondi tra il check del certificato e l'esecuzione del processo — aiuta a ridurre le correlazioni spurie.

Su macOS, il tuning per ExecutablePathPrefix è essenziale: i binari in /Applications hanno un profilo di rischio diverso da quelli in /Users/Shared o /tmp. Gatekeeper dovrebbe bloccare il secondo scenario, ma bypass documentati esistono e gli alert su percorsi insoliti devono rimanere attivi senza esclusioni.

Un controllo preventivo complementare è l'enforcement della policy di code signing tramite AppLocker o Windows Defender Application Control (WDAC) su Windows, configurati per bloccare l'esecuzione di binari con firma invalida piuttosto che limitarsi a loggarla.

L'analisi forense di un incidente che coinvolge firme digitali invalide ruota attorno a due domande: quando il binario è stato depositato sul sistema e da dove proviene il certificato utilizzato.

Artefatti Windows. Il punto di partenza è l'Authenticode signature table del PE file sospetto. Tool come Sigcheck (gratuito, Sysinternals) e pestudio (freemium) estraggono il certificato embedded e mostrano il Subject, l'Issuer e il serial number. Confrontando questi dati con certificati legittimi dello stesso vendor presunto — come fatto nell'analisi di Regin, che usava certificati falsi intestati a Microsoft e Broadcom — si evidenziano discrepanze nei campi OID, nella catena di trust e nei timestamp di emissione.

La Master File Table (MFT) fornisce i timestamp $SI e $FN del binario: una discrepanza tra i due suggerisce timestomping, tecnica spesso combinata con le firme invalide per massimizzare l'evasione. Per estrarre la MFT si può usare MFTECmd di Eric Zimmerman (open source):

MFTECmd.exe -f <percorso-MFT> --csv

I Prefetch files (C:\Windows\Prefetch) registrano le prime otto esecuzioni di un binario con relativi timestamp: cercate i file .pf corrispondenti al nome dell'eseguibile sospetto. AmCache (C:\Windows\AppCompat\Programs\Amcache.hve) è un'altra fonte preziosa perché registra il Publisher e il hash SHA-1 al momento dell'installazione, permettendo di correlare il binario con firma invalida alla prima comparsa nel sistema.

Artefatti macOS. Il database di Gatekeeper e la quarantine extended attribute (com.apple.quarantine) rivelano se il binario è stato scaricato e se Gatekeeper ha tentato una verifica. Il comando:

xattr -l

mostra gli attributi estesi, incluso l'URL di provenienza e il timestamp di download. Per WindTail, firmato con certificati revocati, l'analisi della quarantine flag in combinazione con i log di Endpoint Security chiarisce la catena di eventi dal download all'esecuzione.

Ricostruzione della timeline. Combinate gli artefatti in ordine cronologico: arrivo del file (download, email attachment, lateral movement) → prima scrittura su disco (MFT/fs events) → prima esecuzione (Prefetch/AmCache/Unified Log) → eventuale persistence (scheduled task, launch daemon). Ogni passaggio va correlato con le firme temporali del certificato invalido per determinare se l'attaccante ha riutilizzato un certificato pre-esistente o ne ha generato uno ad hoc.

L'uso di firme digitali invalide racconta molto delle capability e degli obiettivi di un gruppo. Analizzando i profili associati a questa tecnica emergono pattern distinti che aiutano a costruire modelli predittivi.

APT37 (G0067) ha firmato il proprio malware con un certificato digitale invalido intestato a "Tencent Technology (Shenzhen) Company Limited". La scelta di Tencent come copertura non è casuale: in ambienti target dell'Asia orientale, un binario apparentemente firmato da uno dei maggiori conglomerati tech cinesi ha un'elevata probabilità di superare il vaglio superficiale di un analista locale. Questo dettaglio suggerisce un'attenta profilazione dei target prima della fase di delivery.

Windshift (G0112) adotta un approccio diverso, utilizzando certificati revocati anziché completamente falsi. La distinzione è significativa: un certificato revocato è stato legittimo in un certo momento, il che implica che il gruppo ha avuto accesso — diretto o tramite mercato underground — a certificati reali poi compromessi. Il software associato WindTail (S0466) condivide questa caratteristica, risultando firmato in modo incompleto con certificati revocati, coerente con le operazioni del gruppo nel targeting di organizzazioni in Medio Oriente.

Il caso di SplatCloak (S1234) merita attenzione speciale: ha sfruttato un certificato revocato per aggirare la policy di esecuzione dei driver Windows, approfittando di una finestra temporale in cui i certificati emessi prima di una data specifica potevano ancora caricare driver. Questa tecnica rappresenta un'escalation sofisticata rispetto al semplice camuffamento visivo, perché trasforma una firma invalida in un vettore di bypass delle policy del kernel.

Regin (S0019) impersona direttamente Microsoft e Broadcom nei suoi moduli stage 1 per sistemi a 64 bit, un livello di mimetismo che richiede una conoscenza dettagliata della struttura dei certificati enterprise. Gelsemium (S0666) e PcShare (S1050) utilizzano rispettivamente firme non verificabili e certificati invalidi generici, indicando un investimento minore nella credibilità della copertura ma comunque sufficiente a eludere controlli automatizzati superficiali.

Il pattern emergente mostra una polarizzazione: gruppi APT sofisticati investono nella selezione di certificati credibili per il target specifico, mentre tool più diffusi si accontentano di una firma qualsiasi che superi i filtri automatici meno rigorosi. Per il threat modeling, monitorare i certificati revocati associati a vendor noti nelle certificate transparency log è un'attività proattiva che può intercettare la preparazione infrastrutturale prima della delivery.

Framework MITRE ATT&CK v16 — T1036.001 (Invalid Code Signature), TA0005 (Defense Evasion). Gruppi: G0067, G0112. Software: S0466, S0128, S0019, S1234, S0198, S1050, S0666. Mitigazione: M1045. Detection: DET0031, AN0089, AN0090. Tool di detection: Sysmon, Sigcheck, WDAC, AppLocker, pestudio, MFTECmd, osslsigncode, SigThief. Integrato con conoscenza professionale per tool e procedure operative.