Modifica Binari Sistema: Compromise Host Software Binary (T1554)

La simulazione di questa tecnica richiede precisione chirurgica per evitare di compromettere il sistema di test. Iniziamo con la modifica di un binario su Linux, replicando il comportamento di Kobalos che sostituisce il client SSH.

Prima di tutto, create una copia di backup del binario originale: cp /usr/bin/ssh /tmp/ssh.original

Ora prepariamo un wrapper malevolo che intercetta le credenziali. Create un file /tmp/malicious_ssh.c con funzionalità di logging nascosto, poi compilatelo e sostituite il binario originale mantenendo gli stessi permessi.

Su Windows, la tecnica diventa più sofisticata. ThiefQuest su macOS ci insegna un approccio elegante: invece di sostituire completamente il binario, prepende il codice malevolo all'inizio del file eseguibile. Quando l'utente lancia l'applicazione, il malware si esegue per primo, poi passa il controllo all'applicazione originale.

Per testare questa tecnica su macOS: cp /Applications/Calculator.app/Contents/MacOS/Calculator /tmp/Calculator.bak

Il malware può poi modificare l'entry point del binario usando tool come hopper o radare2, inserendo un jump al codice malevolo prima di ripristinare il flusso normale.

XCSSET dimostra un'evoluzione: sostituisce l'intera applicazione browser con una versione modificata che mantiene l'interfaccia identica ma cattura credenziali e traffico web. Per replicarlo in laboratorio, modificate i file Info.plist dell'applicazione target per caricare dylib malevole all'avvio.

Gli attaccanti più sofisticati come UNC3886 modificano addirittura i firmware. Durante la campagna RedPenguin, hanno patchato in memoria i demoni snmpd e mgd dei router Juniper, una tecnica che richiede conoscenza profonda dell'architettura target.

La detection di binari compromessi richiede un approccio multilivello che bilanci efficacia e rumore. Il primo livello si basa sul File Integrity Monitoring (FIM) per le directory critiche.

Su Windows, Sysmon diventa il vostro migliore alleato. Configure il monitoraggio degli eventi FileCreate e ProcessCreate per /Windows/System32 e /Program Files. L'EventID 1 di Sysmon cattura l'esecuzione di processi, mentre l'EventID 11 monitora la creazione di file.

La correlazione temporale è cruciale: quando un binario viene modificato (EventID 11), aspettatevi un'esecuzione anomala entro pochi minuti. Create una regola che triggera quando:

1. Un file eseguibile in directory protette viene modificato
2. Lo stesso file genera un processo entro 5 minuti
3. La firma digitale non corrisponde o è assente

Su Linux, auditd offre visibilità granulare. Monitorate le syscall open con flag O_WRONLY su /usr/bin e /bin: auditctl -w /usr/bin -p w -k binary_modification

Il vero valore aggiunto sta nel baseline comportamentale. Ebury modifica la libreria keyutils - un file che normalmente non cambia mai. Mantenete hash SHA256 dei binari critici e alertate su qualsiasi deviazione.

Per i VPN appliance come Ivanti Connect Secure, la sfida aumenta. WIREFIRE e LIGHTWIRE si insinuano in file CGI legittimi. Implementate controlli di integrità custom che verificano non solo gli hash ma anche le dimensioni dei file e i timestamp di modifica.

I falsi positivi derivano principalmente da aggiornamenti legittimi. Correlate gli alert con i maintenance window e whitelistate i processi di update verificati. Un picco di modifiche durante una finestra di patching pianificata è normale; modifiche isolate a binari critici fuori orario sono red flag immediate.

La ricostruzione forense di binari compromessi inizia sempre dall'identificazione del patient zero. Industroyer nella campagna del 2016 ci ha insegnato che gli attaccanti spesso lasciano tracce nel modo in cui modificano i file.

Su Windows, il $MFT (Master File Table) preserva timestamp multipli per ogni file. Confrontate il timestamp $STANDARD_INFO con $FILE_NAME - discrepanze indicano timestomping. Tools come mftparser estraggono questi metadati: python mftparser.py -f /path/to/$MFT -o timeline.csv

L'analisi dei Prefetch files rivela quando i binari modificati sono stati eseguiti. Un notepad.exe con hash anomalo nel Prefetch indica la versione trojanizzata usata da Sandworm Team.

Su Linux, gli artefatti sono più sottili ma altrettanto rivelatori. Kobalos lascia tracce nelle system call logs quando il SSH trojanizzato intercetta credenziali. Cercate pattern anomali in /var/log/secure dove connessioni SSH generano log entries duplicate o malformate.

La timeline reconstruction beneficia dall'analisi delle shared libraries. Quando Ebury modifica keyutils, lascia dipendenze anomale visibili con ldd. Confrontate l'output pre e post compromissione per identificare librerie iniettate.

Per i firmware compromessi come nel caso UNC3886, l'analisi richiede dump della memoria volatile. I demoni patchati in runtime mantengono la versione originale su disco, ma la memoria rivela le modifiche. Utilizzate volatility con profili custom per l'hardware target.

Gli IoC comportamentali sono spesso più affidabili degli hash. XCSSET crea file nascosti per mantenere copie dei binari originali - cercate pattern come .original o file con attributi hidden in directory applicative.

APT5 ha dimostrato capacità chirurgiche nella modifica di binari VPN. Durante le loro operazioni, hanno alterato il file DSUpgrade.pm di Pulse Secure per installare la webshell ATRIUM. Questo gruppo mostra preferenza per target nell'industria delle telecomunicazioni e tecnologia, con un focus geografico su Asia-Pacifico e occasionalmente Nord America.

UNC3886 rappresenta l'evoluzione della tecnica. Non si limitano a modificare software - compromettono firmware di dispositivi di rete. La loro sostituzione del demone TACACS+ su sistemi Fortinet indica capacità di reverse engineering avanzate e accesso prolungato all'infrastruttura target.

L'overlap nei tool è rivelatore. La famiglia WIREFIRE/LIGHTWIRE/WARPWIRE condivide caratteristiche tecniche che suggeriscono un toolkit comune, probabilmente sviluppato per la campagna Cutting Edge. Questi tool targetano specificamente appliance Ivanti, indicando intelligence preliminare sui target.

Sandworm Team ha mostrato nella campagna ucraina del 2016 che la modifica di binari può servire obiettivi distruttivi, non solo di spionaggio. L'uso di Notepad trojanizzato per Industroyer suggerisce che anche applicazioni innocue possono diventare vettori di persistenza in attacchi a infrastrutture critiche.

I pattern geografici sono chiari: gruppi con nexus cinese (UNC5221/UNC5325) preferiscono compromettere appliance VPN per accesso a lungo termine, mentre attori russi come Sandworm usano la tecnica per mantenere presenza in sistemi SCADA/ICS.

Il trend emergente mostra uno spostamento verso la compromissione di componenti sempre più fondamentali: dai semplici binari applicativi ai demoni di sistema, fino ai firmware embedded. BOLDMOVE introduce persino meccanismi di "watchdog" che ripristinano automaticamente le modifiche malevole se il sistema tenta di aggiornarsi.

Analisi basata su intelligence del framework MITRE ATT&CK, con focus sulle campagne 2016 Ukraine Electric Power Attack, Cutting Edge e RedPenguin. Detection strategies derivate da implementazioni real-world in ambienti enterprise multi-OS. Code signing best practices allineate a NIST 800-147B e industry standard per software supply chain security.