Dirottamento via KernelCallbackTable: Hijack Execution Flow – KernelCallbackTable (T1574.013)

La catena d'attacco che replica questa tecnica segue una sequenza precisa di chiamate alla Native API di Windows, ed è perfettamente riproducibile in un laboratorio red team con un compilatore C/C++ e un debugger.

Il primo passo consiste nell'ottenere un handle al processo target — necessariamente un processo GUI che abbia già caricato user32.dll. Processi come explorer.exe o notepad.exe sono candidati ideali. L'apertura avviene tramite OpenProcess() con diritti di accesso PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE | PROCESS_QUERY_INFORMATION.

Una volta ottenuto l'handle, si chiama NtQueryInformationProcess() con la classe ProcessBasicInformation per recuperare l'indirizzo del PEB nel processo remoto. Dal PEB, con una ReadProcessMemory(), si legge il campo KernelCallbackTable — un puntatore alla tabella vera e propria. La tabella viene poi letta interamente nella memoria del processo attaccante.

A questo punto si duplica la tabella allocando un nuovo blocco di memoria nel processo vittima con VirtualAllocEx() e vi si copia la tabella originale tramite WriteProcessMemory(). La funzione presa di mira — tipicamente fnCOPYDATA (indice 2 nella tabella) o fnDWORD — viene sovrascritta con l'indirizzo di uno shellcode iniettato in precedenza nel processo target.

Il passo cruciale è l'aggiornamento del PEB: con un'altra WriteProcessMemory() si sovrascrive il puntatore alla KernelCallbackTable nel PEB affinché punti alla copia modificata. Infine, il trigger: si invia un messaggio WM_COPYDATA al processo vittima tramite SendMessage(), che forza l'invocazione della callback sovrascritta e l'esecuzione dello shellcode.

Per il laboratorio, il repository odzhan/injection su GitHub (open source) contiene un'implementazione completa di questa tecnica nel modulo dedicato alla KernelCallbackTable. È un riferimento eccellente per comprendere ogni passaggio a livello di codice sorgente.

In alternativa, si può costruire un PoC minimale in C usando solo le API native elencate sopra. Per il debug passo-passo, x64dbg (open source) permette di osservare la modifica del PEB in tempo reale. Process Hacker (open source) consente di ispezionare il PEB del processo target prima e dopo la sovrascrittura, verificando che il puntatore alla KernelCallbackTable sia cambiato.

Un dettaglio operativo importante: dopo l'esecuzione del payload, il codice malevolo tipicamente ripristina la tabella originale. Nella simulazione red team, implementare anche questa fase è fondamentale per testare la capacità del SOC di catturare la finestra temporale in cui la tabella è alterata.

La detection di questa tecnica richiede visibilità sulle chiamate API a basso livello e sulla manipolazione della memoria dei processi — un'area dove i log tradizionali del Security Event Log di Windows offrono poco. Le fonti primarie sono Sysmon e il provider ETW Microsoft-Windows-Kernel-Process.

La strategia di detection documentata (DET0577) si basa sull'identificazione di una catena API sospetta: NtQueryInformationProcess → WriteProcessMemory → esecuzione anomala di una callback GUI. Tradurre questo in regole operative significa lavorare su più livelli.

Sysmon con regola ProcessAccess (EventCode 10) è il primo sensore. Configurare alert quando un processo non standard apre un processo GUI (explorer.exe, notepad.exe, mspaint.exe) con access mask che include PROCESS_VM_WRITE (0x0020) in combinazione con PROCESS_VM_OPERATION (0x0008). Il tuning è essenziale: escludere i processi di sistema legittimi come csrss.exe e i tool di gestione remota approvati dall'organizzazione.

Per il livello ETW, il provider Microsoft-Windows-Kernel-Process emette eventi relativi alla manipolazione della memoria dei processi. Correlare eventi di allocazione di memoria remota (VirtualAllocEx) seguiti da scrittura (WriteProcessMemory) su processi GUI fornisce un segnale ad alta fedeltà.

Il punto chiave per i falsi positivi è il contesto del processo sorgente. Le soluzioni di accessibility, gli screen reader e alcuni tool di automazione (AutoHotkey, per esempio) possono iniettare memoria in processi GUI in modo legittimo. La raccomandazione è costruire una whitelist basata su:

• Hash del binario sorgente
• Firma digitale del processo che effettua l'accesso
• Percorso di esecuzione (escludere solo path specifici, mai directory ampie come C:\Program Files genericamente)

Dal punto di vista della mitigazione (M1040), le soluzioni EDR moderne possono essere configurate per bloccare sequenze comportamentali legate all'injection. In particolare, il blocco dell'uso di WriteProcessMemory verso aree specifiche del PEB di un processo esterno rappresenta un controllo preventivo efficace. Strumenti come Microsoft Defender for Endpoint (a pagamento) e Elastic Defend (freemium) supportano regole comportamentali personalizzabili per questo tipo di pattern.

La finestra temporale tra la sovrascrittura della tabella e il ripristino è spesso brevissima — pochi millisecondi. Per catturarla, la correlazione deve avvenire in near-real-time, con una finestra di aggregazione non superiore a 5 secondi tra l'evento ProcessAccess e l'attività anomala di rete o di injection successiva.

L'analisi forense di un attacco via KernelCallbackTable è complessa perché l'attaccante opera in memory e spesso ripristina lo stato originale dopo l'esecuzione del payload. Tuttavia, diversi artefatti permettono di ricostruire la timeline se le fonti di log corrette sono in posizione.

Il punto di partenza è il dump della memoria del processo vittima. Con Volatility 3 (open source), il plugin windows.peb consente di estrarre l'indirizzo della KernelCallbackTable dal PEB di ogni processo. Confrontare l'indirizzo trovato con quello atteso (che punta normalmente dentro user32.dll) rivela immediatamente se la tabella è stata rilocata. Un indirizzo che punta a un'area allocata con VirtualAllocEx — tipicamente un heap privato del processo — è un indicatore forte di compromissione.

Se il dump è stato acquisito mentre il payload era ancora in esecuzione (prima del ripristino), è possibile estrarre la tabella modificata ed identificare quale funzione di callback è stata sovrascritta. Il confronto funzione per funzione con una tabella di riferimento pulita permette di isolare l'indirizzo del payload. Da quell'indirizzo, con il plugin windows.malfind, si estrae lo shellcode per l'analisi statica.

Sul piano degli artefatti disco e log, i log Sysmon sono la fonte più ricca. L'EventCode 10 (ProcessAccess) registra quale processo ha aperto il processo vittima e con quali permessi. L'EventCode 8 (CreateRemoteThread) potrebbe non essere presente, perché questa tecnica non richiede la creazione di thread remoti — il codice viene eseguito tramite il messaggio Windows. Questo è un elemento distintivo rispetto alle injection classiche.

I log ETW del provider Microsoft-Windows-Kernel-Process, se abilitati, forniscono traccia delle operazioni di allocazione e scrittura in memoria remota. Correlare il timestamp di queste operazioni con l'eventuale attività di rete anomala (beacon C2, esfiltrazione) del processo vittima chiude la timeline.

Un artefatto spesso trascurato è il Prefetch del processo che effettua l'injection: il file .pf registra le DLL caricate e i volumi acceduti, fornendo contesto sul binario attaccante. Su Windows 10/11, PECmd di Eric Zimmerman (open source) parsa efficacemente questi file.

Per quanto riguarda le campagne documentate, FinFisher (S0182) sovrascriveva specificamente la funzione __fnDWORD nella KernelCallbackTable, sostituendola con l'indirizzo di una routine stub APC (Asynchronous Procedure Call). Questo pattern — sostituzione di fnDWORD con uno stub APC — è un indicatore di compromissione specifico da ricercare durante il triage di incidenti in cui si sospetta l'uso di spyware commerciale.

Il panorama degli attori che sfruttano la KernelCallbackTable è ristretto ma significativo, e ruota attorno a operatori con capacità avanzate di sviluppo malware.

Lazarus Group (G0032) è l'unico gruppo APT documentato nell'uso di questa tecnica. Il gruppo nordcoreano ha abusato della KernelCallbackTable per dirottare il flusso di controllo di processi legittimi ed eseguire shellcode. Questo si inserisce nel modus operandi più ampio di Lazarus, che privilegia tecniche di injection sofisticate per evadere i prodotti di sicurezza e mantenere persistenza su sistemi compromessi. L'adozione di una tecnica così specifica — che richiede conoscenza approfondita delle strutture interne del kernel Windows — conferma il livello di maturità tecnica del gruppo.

Sul fronte dei tool, FinFisher (S0182) rappresenta il caso di implementazione commerciale più noto. Questo spyware, originariamente venduto come strumento di lawful interception, ha implementato la sovrascrittura della funzione __fnDWORD con uno stub APC. Il legame tra uno strumento commerciale di sorveglianza e una tecnica usata da un APT statale suggerisce un percorso di knowledge transfer interessante: tecniche sviluppate in ambito commerciale che migrano verso operazioni di intelligence statale, o viceversa.

Dal punto di vista geografico e settoriale, l'uso da parte di Lazarus Group suggerisce che i target primari siano organizzazioni nei settori finanziario, difesa e tecnologico — i verticali storicamente più colpiti dal gruppo. La tecnica è particolarmente insidiosa in ambienti dove processi GUI con privilegi elevati sono comuni, come le workstation di operatori finanziari o le postazioni di sviluppo software.

Un trend da monitorare è la potenziale adozione di questa tecnica da parte di altri gruppi APT con capacità di sviluppo in-house. La KernelCallbackTable offre un vantaggio significativo rispetto alle injection tradizionali: non richiede la creazione di thread remoti (CreateRemoteThread), evitando così uno degli indicatori più monitorati dai prodotti EDR. Man mano che i difensori migliorano la detection delle tecniche classiche di process injection, ci si può aspettare una migrazione verso metodi meno convenzionali come questo.

Per il monitoraggio proattivo, il TI team dovrebbe tracciare la pubblicazione di nuovi PoC e tool che implementano questa tecnica, in particolare su repository pubblici. Ogni nuova implementazione pubblica abbassa la barriera d'ingresso e potenzialmente espande il numero di attori in grado di utilizzarla.

Framework MITRE ATT&CK v16 — T1574.013 (Hijack Execution Flow: KernelCallbackTable), TA0003, TA0004, TA0005. Gruppo: G0032. Software: S0182. Mitigazione: M1040. Detection: DET0577 / AN1593. Integrato con conoscenza professionale per tool e procedure operative.