Mimetismo Maligno: Match Legitimate Resource Name or Location (T1036.005)

Per comprendere come gli attaccanti sfruttano questa tecnica, iniziamo con un esempio classico su Windows. Creiamo un eseguibile malevolo che si maschera da processo legittimo:

copy C:\temp\malicious.exe C:\Windows\System32\svchost.exe

Naturalmente, questo richiede privilegi elevati. Un approccio più sofisticato sfrutta directory alternative dove l'utente ha permessi di scrittura:

copy payload.exe "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.exe"

Su Linux, la tecnica diventa ancora più interessante. Possiamo creare un binario che si sostituisce a comandi comuni:

cp /tmp/backdoor /usr/local/bin/ls chmod +x /usr/local/bin/ls

Il PATH di sistema darà priorità a /usr/local/bin rispetto a /bin, eseguendo il nostro codice invece del vero ls.

Per simulare le tattiche di APT28, che rinomina shell web per sembrare pagine OWA legittime, su un server Exchange compromesso potremmo fare:

copy webshell.aspx "C:\Program Files\Microsoft\Exchange Server\ClientAccess\Owa\auth\logon.aspx"

In ambiente containerizzato, la tecnica assume forme diverse. Possiamo creare un pod malevolo che simula un componente di sistema:

apiVersion: v1
kind: Pod
metadata:
  name: kube-proxy-node1
  namespace: kube-system
spec:
  containers:
  - name: proxy
    image: malicious/image:latest

Per testare la resistenza dei controlli di sicurezza, Cobalt Strike offre funzionalità native. Il comando spawnto permette di specificare quale processo legittimo imitare:

spawnto x64 %windir%\syswow64\dllhost.exe

Un test più avanzato prevede la creazione di servizi Windows con nomi ingannevoli. Il gruppo Lazarus ha dimostrato questa tecnica rinominando il loro malware come narrator.exe:

sc create "Windows Audio Service" binpath= "C:\Windows\Temp\narrator.exe"

La detection di questa tecnica richiede un approccio multilivello che vada oltre il semplice matching di firme. Il primo livello di difesa consiste nel monitorare processi eseguiti da directory trusted con hash sconosciuti.

Una query Splunk efficace per Windows potrebbe essere:

index=windows EventCode=4688 
| where (Image="*\\System32\\*" OR Image="*\\SysWOW64\\*")
| lookup process_whitelist SHA256 OUTPUT known
| where isnull(known)

Per ridurre i falsi positivi, è fondamentale mantenere una baseline dei processi legittimi. Monitorate in particolare i seguenti pattern anomali: processi svchost.exe non avviati da services.exe, file in System32 creati negli ultimi 7 giorni, eseguibili con timestamp di compilazione recenti in directory di sistema.

Su sistemi Linux, l'analisi comportamentale diventa cruciale. Configurate auditd per tracciare modifiche in directory sensibili:

-w /usr/bin/ -p wa -k suspicious_binary -w /usr/sbin/ -p wa -k suspicious_binary

Per ambienti Kubernetes, implementate policy di admission control che verifichino i nomi dei pod. TeamTNT ha dimostrato come sostituire .dockerd con script malevoli, quindi monitorate:

kubectl get pods --all-namespaces -o json | jq '.items[] | select(.metadata.name | test("kube-proxy|kube-dns|coredns")) | select(.metadata.creationTimestamp > (now - 86400))'

La correlazione temporale è fondamentale. Se vedete un nuovo file explorer.exe creato in una directory non standard seguito da connessioni di rete anomale, avete probabilmente identificato attività di Sandworm Team.

Per ESXi, dove Cyclops Blink ha mascherato processi come kernel thread, monitorate la creazione di nuovi processi con nomi sospetti:

esxcli system process list | grep -E "[kworker|ksoftirqd]" | awk '{print $3}' | sort -u

L'analisi forense di questa tecnica richiede attenzione ai dettagli temporali e ai metadati dei file. Su Windows, il registro MFT contiene informazioni preziose sui file rinominati o spostati.

Utilizzate MFTECmd per estrarre la timeline:

MFTECmd.exe -f "C:$MFT" --csv "C:\Forensics" --csvf mft.csv

Cercate discrepanze tra i timestamp $STANDARD_INFORMATION e $FILE_NAME, che indicano manipolazione temporale. APT29 ha dimostrato sofisticazione nel rinominare DLL malevole con nomi legittimi, quindi verificate:

wmic datafile where "drive='c:' and path='\windows\system32\' and creationdate > '20240101'" get name,creationdate,lastmodified

Gli artefatti di esecuzione nel registro sono altrettanto rivelatori. Esaminate le chiavi di compatibilità delle applicazioni:

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"

Gamaredon Group ha utilizzato varianti come svchosst (con doppia 't'), quindi cercate typo comuni nei nomi dei processi. L'analisi delle Prefetch files può rivelare esecuzioni anomale:

PECmd.exe -d "C:\Windows\Prefetch" --csv "C:\Forensics" -q

Su Linux, il journal di systemd conserva tracce di processi rinominati. RotaJakiro si è mascherato come systemd-daemon, quindi esaminate:

journalctl --since="7 days ago" | grep -E "systemd-[a-z]+" | grep -v "systemd-resolved|systemd-timesyncd"

Per i container compromessi, Docker mantiene layer di immagini che possono rivelare modifiche:

docker history --no-trunc suspicious_image:latest

La ricostruzione della timeline richiede correlazione tra molteplici fonti. Se trovate un file vmware_kb.exe (utilizzato nel campaign C0018) creato contemporaneamente a movimenti laterali, avete identificato il punto di pivot dell'attacco.

L'analisi delle preferenze di naming degli APT rivela pattern comportamentali distintivi. APT1 predilige nomi di prodotti Adobe come AcroRD32.exe, mentre Kimsuky favorisce nomi di sistema Windows come ESTCommon.dll.

I gruppi cinesi mostrano tendenze geografiche interessanti. APT41 maschera malware come software antivirus popolari in Asia, mentre Mustang Panda usa nomi come adobeupdate.dat che funzionano globalmente. Questa scelta riflette i loro target: APT41 colpisce principalmente organizzazioni asiatiche, Mustang Panda ha obiettivi più internazionali.

Lazarus Group dimostra evoluzione tattica nel tempo. Inizialmente utilizzavano nomi generici come narrator.exe, ma nelle campagne recenti hanno adottato nomi contestuali specifici per settore. Durante Operation Sharpshooter, il malware Rising Sun era mascherato come mssync.exe, mirato a ingannare amministratori IT.

L'overlap negli strumenti è significativo. FIN7, Carbanak e Silence condividono la preferenza per svchost.exe come nome di mascheramento, suggerendo possibili connessioni operative o semplicemente convergenza su tattiche efficaci. FIN7 ha anche innovato utilizzando sleep.exe per Darkside ransomware, indicando adattamento alle difese moderne.

I trend emergenti mostrano sofisticazione crescente. APT29 durante il SolarWinds Compromise ha creato VBScript con nomi che imitavano servizi esistenti, dimostrando reconnaissance approfondita. Volt Typhoon usa pattern di naming (cl64.exe, vm3dservice.exe) che suggeriscono automazione nella generazione di varianti.

Per la predizione, monitorate i seguenti indicatori: adozione di nuovi software legittimi popolari come template di naming, shift verso nomi specifici per cloud e container, uso di caratteri Unicode per typosquatting (come dimostrato da Mustard Tempest con caratteri cirillici).

Tecnica MITRE ATT&CK T1036.005 - Match Legitimate Resource Name or Location. Documentazione basata su analisi di 59 gruppi APT, 130 famiglie di malware e 13 campagne documentate tra cui Operation Honeybee, SolarWinds Compromise e Triton Safety Instrumented System Attack.