Native API: Native API (T1106)

Per testare l'utilizzo malevolo delle API native in ambiente controllato, puoi iniziare con l'invocazione diretta di CreateProcess su Windows. Apri una PowerShell amministrativa ed esegui:

Add-Type @"
using System;
using System.Runtime.InteropServices;
public class Win32 {
    [DllImport("kernel32.dll")]
    public static extern bool CreateProcess(string lpApplicationName,
        string lpCommandLine, IntPtr lpProcessAttributes, 
        IntPtr lpThreadAttributes, bool bInheritHandles,
        uint dwCreationFlags, IntPtr lpEnvironment,
        string lpCurrentDirectory, [In] ref STARTUPINFO lpStartupInfo,
        out PROCESS_INFORMATION lpProcessInformation);
}
[StructLayout(LayoutKind.Sequential)]
public struct STARTUPINFO { public Int32 cb; }
[StructLayout(LayoutKind.Sequential)]
public struct PROCESS_INFORMATION { 
    public IntPtr hProcess; public IntPtr hThread; 
    public int dwProcessId; public int dwThreadId; 
}
"@

Dopo aver caricato le definizioni, esegui un processo nascosto utilizzando direttamente l'API: $si = New-Object STARTUPINFO; $pi = New-Object PROCESS_INFORMATION; [Win32]::CreateProcess($null, "calc.exe", [IntPtr]::Zero, [IntPtr]::Zero, $false, 0x08000000, [IntPtr]::Zero, $null, [ref]$si, [ref]$pi)

Su Linux, puoi testare l'invocazione diretta di syscalls per creare processi. Compila questo codice C che bypassa la libc:

.global _start
_start:
    mov $57, %rax      # syscall number for fork
    syscall
    test %rax, %rax
    jz child
    mov $60, %rax      # exit parent
    xor %rdi, %rdi
    syscall
child:
    mov $59, %rax      # execve syscall
    lea path(%rip), %rdi
    xor %rsi, %rsi
    xor %rdx, %rdx
    syscall
path:
    .string "/bin/sh"

Per simulare tecniche più avanzate come quelle usate da Cobalt Strike, puoi utilizzare il comando inline senza cmd.exe. In PowerShell: $psi = New-Object System.Diagnostics.ProcessStartInfo; $psi.FileName = "notepad.exe"; $psi.UseShellExecute = $false; $psi.CreateNoWindow = $true; [System.Diagnostics.Process]::Start($psi)

Su macOS, testa l'utilizzo di NSTask per l'esecuzione di processi, tecnica documentata in XAgentOSX. Crea uno script Swift che invoca direttamente le API Cocoa per lanciare processi in background, monitorando con log stream --predicate 'eventMessage contains "exec"' per verificare il comportamento.

La detection delle API native richiede un approccio multilivello che combini telemetria di processo e analisi comportamentale. Su Windows, configura Sysmon per catturare gli eventi critici con questa configurazione XML:

<Sysmon schemaversion="4.50">
  <EventFiltering>
    <ProcessCreate onmatch="include">
      <Image condition="contains any">ntdll.dll;kernel32.dll</Image>
      <CommandLine condition="contains any">CreateProcess;NtCreateProcess</CommandLine>
    </ProcessCreate>
    <ProcessAccess onmatch="include">
      <TargetImage condition="is">lsass.exe</TargetImage>
      <GrantedAccess mask="0x1410">PROCESS_VM_READ</GrantedAccess>
    </ProcessAccess>
  </EventFiltering>
</Sysmon>

Per Linux, implementa regole auditd che catturino syscalls sospette. Aggiungi queste regole in /etc/audit/audit.rules: -a always,exit -F arch=b64 -S execve -S fork -S clone -S ptrace -k suspicious_syscalls -a always,exit -F arch=b64 -S mmap -F perm=x -k executable_mapping

Il monitoraggio comportamentale deve focalizzarsi su pattern anomali di invocazione API. Cerca processi che caricano ntdll.dll seguiti immediatamente da allocazioni di memoria eseguibile. Su Windows, una query KQL efficace per Microsoft Defender sarebbe:

DeviceEvents
| where ActionType == "ProcessCreated" or ActionType == "ImageLoaded"
| where FileName contains "ntdll.dll" or ProcessCommandLine has_any ("CreateProcess", "VirtualAlloc")
| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLine
| join kind=inner (
    DeviceEvents 
    | where ActionType == "ProcessInjection"
) on DeviceName

Per ridurre i falsi positivi, crea una baseline dei processi legittimi che utilizzano API native nel tuo ambiente. Software di sviluppo, strumenti di amministrazione e alcune applicazioni enterprise utilizzano regolarmente queste funzioni. Mantieni una whitelist dinamica basata su hash e certificati digitali.

Su macOS, monitora l'Endpoint Security framework per catturare invocazioni API sospette. Implementa detection per processi che utilizzano task_for_pid o vm_write su target sensibili come il keychain o processi di sistema.

L'analisi forense delle API native richiede la correlazione di molteplici artefatti per ricostruire l'esecuzione malevola. Su Windows, inizia esaminando i Prefetch files in C:\Windows\Prefetch che documentano l'esecuzione di binari e le DLL caricate.

Analizza il registro eventi Sysmon (EventID 7) per tracciare il caricamento di moduli sospetti. Cerca pattern dove processi non firmati caricano ntdll.dll o kernel32.dll da percorsi non standard. Il comando PowerShell per estrarre questi eventi:

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; ID=7} |
Where-Object {$_.Message -match 'ntdll|kernel32' -and $_.Message -match 'Temp|AppData'} |
Select-Object TimeCreated, Message | Export-Csv suspicious_dll_loads.csv

Su Linux, esamina i log di auditd per ricostruire le syscalls. Usa aureport -x --summary per identificare esecuzioni anomale, poi approfondisci con ausearch -sc execve -sc mmap -ts recent per correlare syscalls di esecuzione e mapping di memoria.

Per macOS, il Unified Log contiene tracce dettagliate delle API calls. Estrai eventi di processo e caricamento librerie con: log show --predicate 'eventMessage contains "dlopen" or eventMessage contains "NSTask"' --style syslog > api_forensics.log

Nelle campagne documentate come Operation Honeybee, gli attaccanti hanno utilizzato CreateProcessAsUser per l'esecuzione con privilegi elevati. Cerca nel registro di Windows Security (EventID 4688) processi creati con token diversi dal processo padre.

L'analisi della memoria è cruciale per identificare l'uso di syscalls dirette. Utilizza Volatility3 con il plugin malfind per identificare regioni di memoria con permessi RWX che contengono istruzioni di syscall. Pattern comuni includono sequenze come mov eax, [syscall_number]; syscall che indicano invocazioni dirette.

Documenta timestamp precisi di ogni API call sospetta correlando multiple fonti: Event Log di Windows, file di Prefetch, journal entries del filesystem e artefatti in memoria. Questa timeline multi-sorgente è essenziale per ricostruire la sequenza di compromissione utilizzata da gruppi come Lazarus Group.

L'analisi dei gruppi APT che sfruttano Native API rivela pattern distintivi nelle loro operazioni. Turla utilizza specificamente backdoor RPC che invocano API per sovvertire AMSI e accedere a comandi attraverso named pipes. Il gruppo russo FSB predilige tecniche sofisticate di evasione tramite API calls dirette.

Lazarus Group, attribuito alla Corea del Nord, mostra una predilezione per l'uso di API poco conosciute come ObtainUserAgentString per la raccolta di informazioni sull'host compromesso prima di stabilire connessioni C2. Durante Operation Dream Job, hanno combinato questa tecnica con lure di false offerte di lavoro mirate al settore difesa e aerospaziale.

APT37, altro gruppo nordcoreano, utilizza costantemente le API VirtualAlloc(), WriteProcessMemory() e CreateRemoteThread() per l'injection di processo. Questa triade di API calls rappresenta una firma comportamentale distintiva nelle loro campagne contro obiettivi sudcoreani e giapponesi.

menuPass (APT10), collegato al Ministero della Sicurezza di Stato cinese di Tianjin, mostra pattern unici nell'uso di GetModuleFileName, lstrcat, CreateFile e ReadFile in sequenza. Questo gruppo ha targetizzato provider di servizi IT gestiti per ottenere accesso a catena alle loro vittime finali.

BlackTech, sospettato di origini cinesi, si distingue per l'uso di API built-in meno comuni, dimostrando una profonda conoscenza dei sistemi Windows. Il gruppo ha compromesso aziende nel settore dei semiconduttori a Taiwan utilizzando chiamate API per discovery ed evasione.

I pattern geografici mostrano che i gruppi asiatici tendono a utilizzare tecniche API più sofisticate rispetto ad altri attori. La sovrapposizione di tool tra APT38 e Lazarus Group suggerisce condivisione di risorse e conoscenze all'interno dell'ecosistema cyber nordcoreano.

Per prevedere evoluzioni future, monitora l'adozione di nuove API in Windows 11 e le tecniche di syscall su sistemi ARM. I gruppi APT stanno già sperimentando con API di virtualizzazione e container per targeting di ambienti cloud, anticipando lo shift verso infrastrutture ibride.

Framework MITRE ATT&CK T1106. Campagne documentate: Operation Honeybee (McAfee), Operation Sharpshooter (McAfee), Operation Wocao (Fox-IT), Operation Dream Job (ClearSky, ESET). Riferimenti detection: Sysmon Configuration Guide (SwiftOnSecurity), Sigma Rules Repository, Elastic Detection Rules.