KernelCallbackTable Hijacking: Hijack Execution Flow - KernelCallbackTable (T1574.013)

Per comprendere appieno questa tecnica, iniziamo localizzando il PEB di un processo target. Il primo passo richiede l'identificazione dell'indirizzo del PEB tramite la funzione nativa NtQueryInformationProcess(). Una volta ottenuto il puntatore, possiamo navigare fino alla KernelCallbackTable.

La sequenza operativa tipica prevede la duplicazione della tabella originale per preservarne lo stato. Successivamente, identifichiamo una funzione callback specifica come fnCOPYDATA e sostituiamo il suo indirizzo con quello del nostro payload usando WriteProcessMemory(). Il trigger dell'esecuzione avviene inviando un messaggio Windows appropriato al processo compromesso.

Un esempio pratico in C++ dimostra il concetto:

PROCESS_BASIC_INFORMATION pbi;
NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
// Naviga al PEB e localizza KernelCallbackTable
// Duplica la tabella e modifica fnCOPYDATA
WriteProcessMemory(hProcess, targetAddress, &maliciousPayload, sizeof(PVOID), NULL);
SendMessage(hWnd, WM_COPYDATA, 0, (LPARAM)&cds);

I tool di laboratorio essenziali includono WinDbg per l'analisi del PEB, API Monitor per tracciare le chiamate alle funzioni native, e Process Hacker per visualizzare le strutture in memoria. Lazarus Group ha dimostrato l'efficacia di questa tecnica nelle loro operazioni, mentre il malware FinFisher implementa una variante che sostituisce specificamente la funzione __fnDWORD.

Il ripristino dello stato originale della tabella dopo l'esecuzione del payload costituisce un elemento critico per mantenere la stabilità del processo e ridurre le tracce forensi.

La detection di questa tecnica richiede un approccio comportamentale focalizzato su sequenze API anomale. Il pattern distintivo include chiamate a NtQueryInformationProcess seguite da WriteProcessMemory che targetizzano indirizzi all'interno del PEB di processi GUI.

Sysmon offre visibilità critica attraverso gli eventi di processo (Event ID 10) che catturano accessi cross-process. La configurazione dovrebbe monitorare specificamente processi con user32.dll caricata come explorer.exe, notepad.exe e altre applicazioni GUI comuni. Gli ETW provider come Microsoft-Windows-Kernel-Process forniscono telemetria aggiuntiva sulle modifiche al PEB.

Una regola di detection efficace correla tre indicatori in sequenza temporale stretta: accesso al PEB tramite handle di processo, scrittura in memoria nell'area della KernelCallbackTable, e successiva esecuzione di callback attraverso messaggi Windows. Il tuning richiede attenzione ai falsi positivi generati da software di virtualizzazione e strumenti di accessibilità che possono legitimamente modificare callback.

Le soglie di alert dovrebbero considerare la frequenza di modifiche alla KernelCallbackTable - normalmente zero per processi standard. Qualsiasi modifica a funzioni callback note come fnCOPYDATA o fnDWORD in processi non di sistema rappresenta un forte indicatore di compromissione.

La correlazione temporale tra eventi di scrittura e esecuzione callback costituisce il discriminante principale. Una finestra di 5-10 secondi cattura la maggior parte dei pattern malevoli riducendo il rumore di fondo.

L'analisi forense di questa tecnica inizia dall'esame dei dump di memoria dei processi sospetti. La KernelCallbackTable modificata persiste in memoria fino al termine del processo o al ripristino manuale, lasciando tracce analizzabili attraverso strumenti come Volatility o WinDbg.

Gli artefatti principali includono le entry modificate nella tabella dei callback con puntatori a regioni di memoria non appartenenti a moduli legittimi. L'analisi comparativa tra la KernelCallbackTable di un processo compromesso e quella standard rivela immediatamente le discrepanze.

Nel filesystem, i log di Sysmon preservano la sequenza di eventi con timestamp precisi. Gli Event ID 8 (CreateRemoteThread) e 10 (ProcessAccess) documentano l'injection iniziale e le successive modifiche alla memoria del processo target. La correlazione con eventi di rete (Event ID 3) può rivelare comunicazioni C2 successive all'hijacking.

Lazarus Group ha lasciato pattern forensi distintivi nelle loro implementazioni, inclusa la tendenza a targetizzare processi di sistema specifici e l'uso di payload shellcode con caratteristiche identificabili. L'analisi del malware FinFisher mostra preferenze per callback specifici e tecniche di offuscazione del payload iniettato.

La ricostruzione della timeline beneficia dell'analisi delle Windows Messages inviate al processo compromesso. Il Message Queue del processo target può contenere tracce dei messaggi utilizzati per triggare l'esecuzione del payload malevolo.

Lazarus Group rappresenta l'attore principale documentato nell'uso di questa tecnica. Il gruppo nordcoreano ha integrato l'hijacking della KernelCallbackTable nel loro arsenal come metodo di evasione avanzato, particolarmente in campagne mirate contro istituzioni finanziarie e infrastrutture critiche.

Il pattern operativo di Lazarus mostra una predilezione per l'uso combinato di questa tecnica con altre forme di process injection. La loro implementazione spesso include meccanismi di persistenza aggiuntivi e comunicazioni C2 cifrate post-compromissione.

FinFisher, sebbene sia un tool commerciale di sorveglianza, fornisce insight sui capability state-sponsored. La sua implementazione della tecnica dimostra un focus sulla stabilità e stealth, con particolare attenzione al ripristino dello stato originale per evitare crash di sistema.

L'overlap geografico mostra concentrazioni di utilizzo in regioni con alta attività APT, suggerendo adozione da parte di gruppi emergenti che studiano e replicano TTP di attori established. La tendenza evolutiva indica movimento verso target di processo sempre più specifici e payload modulari.

La predicibilità futura suggerisce espansione verso processi di sicurezza e antivirus come target primari. L'integrazione con tecniche di living-off-the-land e l'uso di callback meno comuni per evadere detection rappresentano evoluzioni probabili.

Framework MITRE ATT&CK documenta questa tecnica come T1574.013 sotto la categoria Hijack Execution Flow. Le implementazioni di Lazarus Group e FinFisher forniscono casi studio pratici. Risorse di detection includono regole Sigma e configurazioni Sysmon ottimizzate per Windows endpoint monitoring.